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信息 化 正在 不 断 地 推动 着 社会 变革 的 进程 和 改变 着 人 们 的 生产 方式 和 生活 方式 。 信 
息 交 换 和 共享 推动 了 人 类 历史 发 展 和 社会 进步 。 利 用 先进 的 信息 技术 、 实现 企业 信息 化 、 
提高 企业 生存 和 发 展 能 力 以 及 企业 市 场 竞争 能 力 是 现代 化 企业 发 展 的 必由之路 。 通 过 企 
业 信 息 化 ， 不 断 优化 组 织 结构 ， 调 整 企 业 管理 体制 和 运行 机 制 ， 建 设 流程 型 现代 企业 ， 
实现 信息 和 知识 资源 的 共享 ， 共 享 程度 越 高 ， 信 息 和 知识 作为 生产 要 素 的 价值 越 高 ， 解 
放 和 提高 生产 力 的 能 力 就 越 大 。 

信息 化 以 通信 和 计算 机 为 技术 基础 ， 以 数字 化 和 网 络 化 为 技术 特点 。 它 有 别 于 传统 
方式 的 信息 获取 、 储 存 、 处 理 、 传 输 、 使 用 ， 从 而 也 给 现代 社会 的 正常 发 展 带 来 了 一 系 
列 的 前 所 未 有 的 风险 和 威胁 。 人 们 对 信息 安全 的 需求 随 着 时 代 发 展 而 不 断 地 提高 。 信 息 
化 的 现代 文明 使 人 类 在 知识 经 济 的 概念 下 ， 推 动 社会 发 展 与 进步 的 趋势 已 不 可 逆转 ， 但 
与 此 同时 “信息 战 ”的 阴影 也 已 隐约 升 空 。 信 息 安全 对 现代 社会 健康 有 序 发 展 ， 保 障 国 
家 安全 、 社 会 稳定 起 着 不 可 或 缺 的 重要 作用 ， 对 信息 革命 的 成 败 有 着 关键 的 影响 。 不 是 
在 信息 化 中 安全 生存 发 展 ,就 是 在 信息 化 中 衰亡 一 一 美好 和 严酷 就 这 样 摆 在 我 们 的 面前 。 

电力 工业 是 国民 经 济 的 基础 产业 和 公用 事业 。 电 力 系统 的 安全 稳定 运行 ， 关 系 到 整 
个 社会 的 各 个 行业 和 千家 万 户 。 电 力 系 统 的 生产 、 经 营 和 管理 中 ， 电 网 实时 信息 、 企 业 
经 营 管理 等 信息 系统 的 安全 直接 关系 到 电力 系统 的 安全 稳定 运行 ， 关 系 到 社会 的 稳定 ， 
关系 到 用 户 的 安全 供电 、 企 业 生存 和 发 展 的 重大 问题 。 在 信息 网 络 环境 下 ， 信 息 获 取 、 
储存 、 处 理 、 传 输 、 使 用 的 保密 性 、 完 整 性 、 不 可 否认 性 、 可 用 性 和 可 控 性 问题 目前 没 
有 系统 解决 。 电 力 系 统 信息 安全 是 保证 电力 系统 安全 运行 和 对 社会 可 靠 供电 十 分 重要 的 
课题 ， 是 一 项 涉及 面 广 ， 技 术 及 管理 复杂 的 系统 工程 。 随 着 应 用 需求 的 不 断 提升 ， 信 息 
网 络 规模 的 不 断 扩 大 ， 网 络 及 信息 安全 问题 更 为 突出 。 

作者 在 组 织 和 主持 国家 “十 五 ”重大 科技 攻关 项 目 《 电 力 系统 信息 安全 示范 工程 》 
子 课题 《辽宁 电力 系统 信息 安全 示范 工程 》 的 实践 中 ， 运 用 社会 发 展 系统 动力 学 原理 以 
及 信息 安全 理论 ， 探 讨 网 络 信息 安全 工程 有 关 基 本 原理 ， 国 际 信息 安全 有 关 标 准 的 研究 
与 工程 应 用 情况 ， 提 出 网 络 信息 安全 三 大 支柱 的 概念 ， 即 网 络 及 信息 安全 防护 体系 一 一 
解决 网 络 安全 问题 ; 身份 认证 与 授权 管理 体系 (PKI 一 CA/PMI) 一 一 解决 信息 交换 与 共 
享 安全 问题 ， 数据 备份 及 灾难 恢复 体系 一 一 解决 数据 备份 、 存 储 与 恢复 安全 问题 。 组 织 
实施 了 建立 网 络 信息 安全 总 体 框架 、 管理 体系 、 技术 体系 ,网络 信息 安全 风险 评估 分 析 ， 
信息 网 络 基础 平台 结构 优化 工程 ， 构 建 网 络 信息 安全 监视 及 管理 平台 ， 建 立 完善 的 网 络 
信息 安全 PKI-CA/PMI 身份 认证 与 授权 管理 系统 和 存储 网 络 与 备份 容 灾 及 灾难 恢复 系统 
并 在 工程 实践 中 应 用 。 

本 书 是 在 国家 “十 五 ”重大 科技 攻关 项 目 《 电 力 系统 信息 安全 示范 工程 ) 子 课题 《 辽 
宁 电力 系统 信息 安全 示范 工程 》 全 面 验收 并 获得 国家 、 电 力行 业 及 国家 电网 公司 科技 进 
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步 奖 后 2005 年 开始 编写 的 。 信 息 化 工程 是 一 项 涉及 面 广 、 复 杂 的 系统 工程 。 网 络 信息 安 
全 工程 是 涉及 面 更 广 、 更 为 复杂 的 系统 工程 。 作 者 给 出 8 年 信息 化 工程 及 网 络 信息 安全 
工程 应 用 理论 和 实践 的 成 果 , 包括 经 验 与 教训 供 大 家 借鉴 。 在 编写 过 程 中 作者 2006 年 初 
调任 省 农 电 局 负责 安全 工作 副 局 长 ，328 次 深入 县 (郊区 ) 农 电 局 调研 ， 对 安全 工作 在 
理论 和 实践 有 了 更 深刻 的 理解 。2008 年 初 调任 省 公司 信息 通信 公司 副 总 经 理 兼 总 工程 
师 , 负责 计划 和 安全 工作 ,并 负责 组 织 和 主持 省 公司 ERP 成 熟 套装 软件 项 目 实施 与 应 用 
工作 ， 对 大 型 企业 ERP 系统 信息 安全 重要 性 有 更 新 的 认识 ，2010 年 8 月 调任 省 公司 科 
技 信息 部 兼 智能 电网 部 负责 公司 信息 化 工作 ， 更 感到 信息 安全 工作 的 紧迫 性 ， 因 此 抓紧 
整理 编著 此 书 。 为 读者 在 今后 的 理论 研究 和 工程 实践 提供 借鉴 。 本 书 可 供 企 业 领 导 、 信 
息 化 及 信息 安全 工程 技术 及 管理 人 员 ， 用 于 指导 信息 系统 建设 、 管 理 与 应 用 工作 ; 也 可 
供 开 厂商 了 解 企业 信息 化 及 信息 安全 工程 建设 与 应 用 的 实际 需求 , 有 针对 性 的 服务 ; 对 
于 大 学 教师 和 科研 人 员 可 以 作为 供 信息 化 建设 与 应 用 的 教学 与 科研 参考 用 书 。 

全 书 共 分 9 章 ， 第 1 章 探讨 网 络 信息 安全 与 现代 信息 社会 ， 信 息 安 全 工程 主要 研究 
方向 以 及 云 计算 及 云 安全 的 现状 及 发 展 趋势 。 第 2 章 介绍 网 络 信息 安全 工程 基本 概念 ， 
网 络 信息 安全 工程 有 关 基 本 原理 ， 国 际 信息 安全 有 关 标准 的 研究 与 工程 应 用 情况 。 第 3 
章 探讨 网 络 信息 安全 总 体 框架 、 管 理 体系 、 技 术 体系 的 系统 设计 及 应 用 实例 。 第 4 章 探 
讨 网 络 信息 安全 风险 评估 方法 , 风险 评估 目的 及 范围 , 安全 风险 评估 及 分 析 及 应 用 实例 。 
第 5 章 探 讨 信息 网 络 基础 平台 结构 优化 及 应 用 实例 。 第 6 章 探讨 信息 安全 监视 及 管理 平 
台 的 设计 及 应 用 实例 。 第 7 章 探 讨 网 络 信息 安全 防护 技术 原理 ， 网 络 信息 安全 防护 体系 
的 设计 及 应 用 实例 。 第 8 章 探讨 网 络 信息 安全 PKI-CA/PMI 身份 认证 与 授权 管理 系统 及 
应 用 实例 。 第 9 章 探讨 数据 存储 备份 与 灾难 恢复 系统 及 应 用 实例 。 
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第 1 章 沦 


1.1 背景 及 意义 


随 着 计算 机 及 信息 网 络 技术 的 飞速 发 展 ， 信 息 和 网 络 已 经 成 为 人 类 进步 和 社会 发 展 
的 重要 基础 。 信 息 与 网 络 涉及 国家 的 政府 、 军 事 、 科 技 、 文 教 、 企 业 等 诸多 领域 ， 在 计 
算 机 信息 网 络 中 存储 、 传 输 和 处 理 的 信息 有 许多 是 政府 宏观 调控 决策 、 商 业经 济 信息 、 
银行 资金 转账 、 股 票证 券 、 能 源 资源 数据 、 科 研 数据 等 重要 信息 ， 其 中 有 很 多 是 敏感 信 
息 甚至 是 国家 机 密 ， 所 以 难免 会 吸引 来 自 世 界 各 地 的 各 种 人 为 攻击 〈 例 如 ， 信 息 泄露 、 
信息 窃取 、 数 据 删除 与 添加 、 计 算 机 病毒 等 ) 。 因 此 计算 机 网 络 信息 安全 是 一 个 关系 国 
家 安全 和 主权 、 社 会 的 稳定 、 民 族 文化 的 继承 和 发 扬 、 企 业 生存 和 发 展 等 的 重大 问题 ， 
重要 性 正 随 着 全 球 信息 化 步伐 的 加 快 而 变 得 越 来 越 重要 。 

从 世界 范围 来 看 ， 黑 色 产 业 链 越 来 越 成 为 焦点 ， 黑 客 的 技术 炫耀 开始 与 经 济 利益 越 
绑 越 紧 ， 与 此 相对 应 ， 僵 尸 网 络 、 木 马 等 变 得 越 来 越 活跃 ， 而 一 般 性 质 的 蠕虫 ， 尤 其 是 
大 规模 里 虫 则 相 比 过 去 发 生 多 种 变异 ;由 于 几乎 没有 遇 到 太 多 法 律 上 的 对 抗 ， 导 致 黑客 
对 网 页 的 攻击 越 来 越 泛 化 ， 例 如 ， 钓 鱼网 站 因 域 名 劫持 等 手段 的 越 来 越 高 超 而 变 得 防 不 
胜 防 。 

随 着 网 络 的 发 展 ， 技 术 的 进步 ， 信 息 安全 面临 的 挑战 也 在 增 大 。 一 方面 对 网 络 的 攻 
击 方式 层出不穷 ， 每 两 年 间 增 加 了 十 几 倍 ， 攻 击 方式 的 增加 意味 着 对 网 络 威胁 的 增 大 。 
随 着 硬件 技术 和 并 行 技术 的 发 展 ， 计 算 机 的 计算 能 力 迅 速 提高 ， 针 对 安全 通信 措施 的 攻 
击 也 不 断 增 大 。 另 一 方面 网 络 应 用 范围 的 不 断 扩大 ， 使 人 们 对 网 络 依赖 的 程度 增 大 ， 对 
网 络 的 破坏 造成 的 损失 和 混乱 会 比 以 往 任何 时 候 都 大 。 这 些 对 网 络 信息 安全 保护 提出 了 
更 高 的 要 求 ， 也 使 网 络 信息 安全 学 科 的 地 位 显得 更 加 重要 ， 网 络 信息 安全 必然 随 着 网 络 
应 用 的 发 展 而 不 断 发 展 。 网 络 信 息 安 全 工程 既是 一 个 理论 问题 , 又 是 一 个 工程 实践 问题 ， 
是 一 项 庞大 和 复杂 的 系统 工程 ， 探 讨 和 研究 网 络 信息 安全 理论 与 应 用 ， 指 导 工 程 实践 是 
一 个 必须 面 对 和 急 待 解决 的 问题 。 


1.2 网络 信息 安全 与 现代 信息 社会 


生产 力 的 革命 促进 了 人 类 的 生存 与 发 展 。 几 千年 的 人 类 历史 上 ， 发 生 过 三 次 伟大 的 
生产 力 革 命 。 
第 一 次 是 农业 革命 ， 它 使 人 类 从 原始 部 落 的 游 猎 为 生 转 化 为 依靠 土地 ， 男 耕 女 织 ， 
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以 解决 赖 以 为 生 的 衣食 问题 。 

第 二 次 是 工业 革命 ， 它 使 人 类 不 但 能 够 利用 物质 ， 而 且 学 会 利用 能 源 。 煤 、 油 、 电 
以 及 利用 能 源 的 机 械 大 大 延 拓 了 人 类 劳动 的 器 官 ， 创 造 了 空前 的 财富 ， 带 来 了 人 类 的 现 
代 文 明 。 反 映 在 自然 科学 上 的 成 就 是 人 类 认识 自然 规律 的 研究 能 力 超 过 了 以 往 的 几 千 
年 ， 数 学 、 物 理 、 化 学 的 经 典 研究 葛 定 了 现代 科学 的 基础 。 反 映 在 人 类 的 生产 活动 的 成 
就 是 使 人 们 创造 财富 和 抵御 自然 灾害 的 能 力 大 大 增强 。 通 过 车 (汽车 、 火 车 ) 船 、 飞 机 、 
电报 、 电 话 、 电 ， 人 们 的 交往 空间 和 时 效 大 大 提高 ， 人 类 解决 衣 、 食 、 住 、 行 、 用 的 能 
力 超过 以 往 任何 时 代 ， 自 然 的 人 向 自主 的 人 大 大 迈进 了 一 步 。 

第 三 次 是 信息 革命 ，20 世纪 的 科学 技术 发 展 ， 特 别 是 信息 科学 技术 的 发 展 ， 带 来 了 
生产 力 的 又 一 次 革命 。 这 场 革命 早 在 工业 化 进程 中 就 开始 孕育 。20 世纪 50 年 代 前 的 电 
报 电话 等 通信 技术 的 基础 和 计算 机 技术 的 出 现 ， 为 20 世纪 60 年 代 计 算 机 联网 实验 提供 
了 最 初 的 条 件 ，20 世纪 70 年 代 半 导体 微 电 子 技术 的 飞跃 ， 数 字 化 技术 的 成 熟 ， 为 计算 
机 网 络 走出 军事 的 封闭 环境 和 研究 所 以 及 校园 的 象牙 之 塔 葛 定 了 技术 基础 。 

美国 著名 的 未 来 学 家 Alvin Toffler 很 早 就 预感 到 信息 革命 的 巨大 影响 ， 出 版 了 他 的 
《第 三 次 浪潮 》 等 系列 名 著 。 他 深刻 地 指出 : 电脑 网 络 的 建立 与 普及 将 彻底 地 改变 人 类 的 
生存 及 生活 模式 ， 而 控制 与 掌握 网 络 的 人 就 是 人 类 未 来 命运 的 主宰 。 谁 掌握 了 信息 ， 控 
制 了 网 络 ， 谁 就 拥有 整个 世界 。 

信息 是 资源 ， 它 与 物质 、 能 源 一 起 构成 人 类 生存 发 展 的 三 大 支柱 ， 是 我 们 所 处 时 代 
最 重要 、 最 主要 的 资源 ， 已 经 成 为 越 来 越 多 的 人 们 的 共识 。 信 息 社会 对 人 类 的 满足 已 经 
从 物质 生活 的 衣 、 食 、 住 、 行 、 用 拓宽 到 深层 精神 生活 的 听 、 看 、 想 、 说 、 研 。 现 代 化 
的 信息 手段 对 于 人 类 的 社会 管理 、 生 产 活动 、 经 济 贸 易 、 科 学 研究 、 学 校 教育 、 文 化 生 
活 、 医 疗 保健 以 致 战争 方式 都 产生 了 空前 深刻 的 巨大 影响 。 

人 类 社会 是 一 个 有 序 运 作 的 实体 ， 理 想 、 信 念 、 道 德 、 法 规 从 不 同 层面 维系 社会 秩 
序 。 传 统 的 一 切 准 则 在 电子 信息 环境 中 如 何 体现 与 维护 ， 到 现在 为 止 并 没有 根本 解决 。 
理念 、 法 规 和 技术 都 在 发 展 完善 的 过 程 之 中 。 信 息 化 以 通信 和 计算 机 为 技术 基础 ， 以 数 
字 化 和 网 络 化 为 技术 特点 。 它 有 别 于 传统 方式 的 信息 获取 、 储 存 、 处 理 、 传 输 、 使 用 ， 
从 而 也 给 现代 社会 的 正常 发 展 带 来 了 一 系列 的 前 所 未 有 的 风险 和 威胁 。 

从 Internet 国际 互联 网 的 发 展 来 看 ， 它 最 初 是 美国 军 方 出 于 预防 核 战争 对 军事 指挥 
系统 的 毁灭 性 打击 提出 的 研究 课题 ， 之 后 将 其 军事 用 途 分离 出 去 ， 并 在 科研 、 教 育 的 校 
园 环境 中 进一步 完善 ， 就 变 成 了 解决 互 连 、 互 通 、 互 操作 的 技术 课题 。 校 园 环境 理想 的 
技术 、 信 息 共享 使 Internet 的 发 展 忽略 了 安全 问题 。20 世纪 90 年 代 后 它 从 校园 环境 走 上 
了 社会 应 用 ， 商 业 应 用 的 需要 使 人 们 意识 到 了 忽视 安全 的 危害 。 尽 管 校园 环境 的 孩子 们 
涉世 不 深 ， 缺 乏 社会 责任 感 ， 但 其 中 许多 对 计算 机 游戏 钟爱 至 深 ， 有 相当 一 批 后 来 成 了 
技艺 超群 的 电脑 玩家 〈 早 年 的 黑客 ) ， 有 的 成 为 当今 社会 信息 产业 界 的 开拓 先驱 ， 而 有 
的 则 成 为 害群之马 。 他 们 的 继承 者 越 来 越 多 ， 在 网 上 存在 利益 的 今天 ， 他 们 的 行为 从 另 
一 个 方面 向 人 们 揭示 了 信息 系统 的 脆弱 性 ， 引 起 人 们 对 信息 安全 的 空前 重视 。 

人 们 对 信息 安全 的 需求 随 着 时 代 发 展 而 不 断 地 提高 。 首 先 人 们 意识 到 的 是 信息 保 
密 。 在 近代 历史 上 已 成 为 战争 的 情报 军事 手段 和 政府 专用 技术 。 在 传统 信息 环境 中 ， 普 
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通 人 通过 邮政 系统 发 送信 件 ， 为 了 个 人 隐私 还 要 装 上 个 信封 。 可 是 到 了 使 用 数字 化 电子 
信息 的 今天 ， 以 0、1 比特 串 编码 在 网 上 传 来 传 去 ， 连 个 “信封 ”都 没有 ， 我 们 发 的 电子 
邮件 都 是 “明信片 ”， 那 还 有 什么 秘密 可 讲 ! 因此 就 提出 了 信息 安全 中 的 保密 性 需求 。 

在 传统 社会 中 ， 不 相识 的 人 们 相互 建立 信任 需要 介绍 信 ， 并 且 在 上 面 签 上 名 ， 盖 上 
章 。 那 么 在 电子 信息 环境 中 应 如 何 签名 盖 章 ， 怎 么 知道 信息 真实 的 发 送 者 和 接收 者 ， 怎 
么 知道 信息 是 真实 的 ， 并 且 在 法 律 意义 上 做 到 责任 的 不 可 抵赖 ， 等 等 ， 为 此 ， 人 们 归纳 
信息 安全 时 提出 了 完整 性 和 不 可 否认 性 的 需求 。 

人 们 还 意识 到 信息 和 信息 系统 都 是 它 的 所 有 者 花费 了 代价 建设 起 来 的 。 但 是 ， 存 在 
着 由 于 计算 机 病毒 或 其 他 人 为 的 原因 可 能 造成 的 对 主人 的 拒绝 服务 ， 被 他 人 滥用 机 密 或 
信息 的 情况 。 因 而 ， 又 提出 了 信息 安全 中 的 可 用 性 需求 。 

由 于 社会 中 存在 不 法 分 子 ， 地 球 上 各 国之 间 还 时 有 由 于 意识 形态 和 利益 冲突 造成 的 
敌对 行为 ， 政 府 对 社会 的 监控 管理 行为 《如 搭 线 监听 犯罪 分 子 的 通信 ) 在 社会 广泛 使 用 
信息 安全 设施 和 装置 时 可 能 受到 严重 影响 ， 以 至 不 能 实施 ， 因 而 就 出 现 了 信息 安全 中 的 
可 控 性 需求 。 

信息 化 的 现代 文明 使 人 类 在 知识 经 济 的 概念 下 推动 社会 发 展 与 进步 的 趋势 已 初 见 
端倪 ， 但 与 此 同时 , “信息 战 ” 的 阴影 也 已 隐约 升 空 。 信 息 安全 对 现代 社会 健康 有 序 发 
展 ， 保 障 国家 安全 、 社 会 稳定 肩负 着 不 可 或 缺 的 重要 作用 ， 对 信息 革命 的 成 败 有 着 关键 
的 影响 。 不 是 在 数字 化 中 安全 生存 ， 就 是 在 数字 化 中 衰亡 一 美好 和 严酷 就 这 样 摆 在 我 
们 的 面前 。 


1.3 ”从 密码 技术 发 展 历 程 认识 信息 安全 的 重要 性 


密码 技术 的 发 展 大 致 可 分 为 3 个 阶段 ，1949 年 之 前 为 第 一 个 阶段 ， 在 这 一 阶段 ， 密 
码 学 并 不 是 一 门 科学 ， 而 被 更 多 地 视 作 一 门 艺术 。1949 一 1976 年 为 第 二 个 阶段 , 1949 年 
Shannon 发 表 的 “保密 通信 的 信息 理论 ”将 密码 学 的 研究 纳入 了 科学 的 轨道 。 在 这 一 阶 
段 ， 密 码 学 的 发 展 很 慢 ， 公 开 的 文献 也 很 少 。1976 年 至 今 为 第 三 个 阶段 ，1976 年 Diffie 
和 Hellman 发 表 的 “密码 学 的 新 方向 ”提出 了 一 种 绒 新 的 密码 体制 , 冲破 了 长 期 以 来 一 
直 沿 用 的 单 钥 密码 体制 。 新 的 双 钥 〈 公 钥 ) 密码 体制 可 使 通信 双方 之 间 无 须 事先 交换 密 
钥 就 可 建立 起 保密 通信 。 在 这 一 阶段 ， 密 码 技术 的 发 展 非常 迅速 。1977 年 美国 国家 标准 
局 (NBS) 公 布 了 数据 加 密 标 准 (DES)。1993 年 美国 政府 宣布 了 一 项 新 的 建议 一 一 Clipper 
建议 ， 该 建议 规定 使 用 专门 授权 制造 的 且 算法 不 予以 公布 的 Clipper 芯片 实施 商用 加 密 。 

密码 技术 是 网 络 信息 安全 技术 中 的 核心 技术 ， 它 主要 由 密码 编码 技术 和 密码 分 析 技 
术 两 个 分 支 组 成 。 密 码 编码 技术 的 主要 任务 是 寻求 产生 安全 性 高 的 有 效 密码 算法 ， 以 满 
足 对 消息 进行 加 密 或 认证 的 要 求 。 密 码 分 析 技术 的 主要 任务 是 破译 密码 或 伪造 认证 码 ， 
实现 窃取 机 密 信息 或 进行 诈骗 破坏 活动 。 这 两 个 分 支 既 相 互 对 立 ， 又 相互 依存 。 信 息 的 
安全 性 主要 包括 两 个 方面 ， 即 信息 的 保密 性 和 信息 的 认证 性 。 保 密 的 目的 是 防止 敌手 破 
译 系统 中 的 机 密 信息 。 认 证 的 目的 有 两 个 : 一 是 验证 信息 的 发 送 者 是 真正 的 ， 而 不 是 冒 
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充 的 ， 二 是 验证 信息 的 完整 性 ， 即 验证 信息 在 传送 或 存储 过 程 中 未 被 窜改 、 重 放 或 延迟 
等 。 信 息 的 保密 性 和 信息 的 认证 性 是 信息 的 安全 性 的 两 个 不 同方 面 ， 认 证 不 能 自动 地 提 
供 保密 性 ， 而 保密 也 不 能 自然 地 提供 认证 功能 。 在 用 密码 技术 保护 的 现代 信息 系统 的 安 
全 性 主要 取决 于 对 密 钥 的 保护 ， 而 不 是 对 算法 或 硬件 本 身 的 保护 ， 即 密码 算法 的 安全 性 
完全 寓于 密 钥 之 中 。 可 见 ， 密 钥 的 保护 和 管理 在 数据 系统 安全 中 是 极为 重要 的 。 


1.4 网 络 信息 安全 存在 的 主要 问题 


网 络 信息 安全 主要 涉及 网 络 信息 的 安全 和 网 络 系统 本 身 的 安全 。 在 信息 网 络 中 存在 
着 各 种 资源 设施 ， 随 时 存储 和 传输 的 大 量 数据 ， 这 些 设 施 可 能 遭 到 攻击 和 破坏 ， 数 据 在 
存储 和 传输 过 程 中 可 能 被 盗用 、 暴 露 或 算 改 。 另 外 ， 信 息 网 络 本 身 可 能 存在 某 些 不 完善 
之 处 ， 网 络 软件 也 有 可 能 遭受 恶意 程序 的 攻击 而 使 整个 网 络 陷于 瘫痪 。 同 时 网 络 实体 还 
要 经 受 诸如 水 灾 、 火 灾 、 地 震 、 电 磁 辐 射 等 方面 的 考验 。 


1.4.1 影响 计算 机 信息 网 络 安 全 的 因素 


随 着 计算 机 信息 网 络 技术 的 发 展 和 应 用 ， 一 方面 网 络 提供 了 信息 资源 共享 性 、 系 统 
的 可 靠 性 、 工 作 的 效率 和 系统 的 可 扩充 性 ， 同 时 也 正 是 这 些 特 点 ， 增 加 了 网 络 安全 的 脆 
弱 性 和 复杂 性 ， 资源 共享 和 分 布 增加 了 网 络 受 威胁 和 攻击 的 可 能 性 。 对 信息 网 络 的 威胁 ， 
主要 有 以 下 4 个 方面 。 

(1) 信息 网 络 硬件 设备 和 线路 的 安全 问题 。 例 如 : Internet 的 脆弱 性 ， 电 磁 泄 露 ; 
搭 线 窃听 ;非法 终端 ， 非 法 入 侵 ; 注入 非法 信息 ; 线路 干扰 ; 意外 原因 ; 病毒 入 侵 ; 黑 
客 攻击 等 。 

(2) 信息 网 络 系统 和 软件 的 安全 问题 。 例 如 : 网 络 软件 的 漏洞 及 缺陷 ， 网 络 软 件 安 
全 功能 不 健全 或 被 安装 了 “特洛伊 木马 ”; 应 加 安全 措施 的 软件 未 给 予 标 识 和 保护 ; 未 
对 用 户 进行 等 级 分 类 和 标识 ;错误 地 进行 路 由 选择 ;拒绝 服务 ;信息 重播 ;软件 缺陷 
没有 正确 的 安全 策略 和 安全 机 制 ;缺乏 先进 的 安全 工具 和 手段 程序 版 本 错误 等 。 

(3) 信息 网 络 管理 人 员 的 安全 意识 问题 。 例 如 : 保密 观念 不 强 或 不 懂 保密 规则 ;， 操 
作 失 误 ， 规章 制度 不 健全 ;明知 故 犯 或 有 意 破 坏 网 络 系统 和 设备 ;身份 证 被 窃取 ; 否认 
或 冒充 ， 系 统 操作 的 人 员 以 超越 权限 的 非法 行为 来 获取 或 算 改 信息 等 。 

(4) 环境 的 安全 因素 。 环 境 因素 威胁 着 网 络 的 安全 ， 如 地 震 、 火 灾 、 水 灾 、 风 灾 等 
自然 灾害 或 掉 电 、 停 电 等 事故 。 

从 以 上 4 个 方面 来 看 ， 影 响 网 络 安全 的 因素 主要 有 以 下 几 个 方面 。 

外 局 域 网 存在 的 缺陷 和 Internet 的 脆弱 性 。 

@ 网 络 软件 的 缺陷 和 Intemet 服务 中 的 漏洞 。 

@ 薄弱 的 网 络 认 证 环节 。 

@ 没有 正确 的 安全 策略 和 安全 机 制 。 
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@ 缺乏 先进 的 网 络 安全 技术 和 工具 。 

@ 没有 对 网 络 安全 引起 足够 的 重视 ， 没 有 采取 得 力 的 措施 ， 以 致 造成 重大 经 济 损 
失 。 这 是 最 重要 的 一 个 原因 。 

因此 ， 为 了 保证 计算 机 信息 网 络 的 安全 ， 必 须 高 度 重视 ， 从 法 律 保护 和 技术 上 采取 
一 系列 安全 和 保护 措施 。 


1.4.2 ”Internet 网 络 存 在 的 安全 缺陷 


Intemet 网 络 不 论 在 网 络 范围 规模 ， 还 是 方便 快捷 开放 ， 是 其 他 任何 网 络 无 法 比拟 
的 ， 但 是 ， 存 在 的 信息 网 络 安全 缺陷 也 是 十 分 严重 的 。 因 为 ， 互 联网 是 分 散 管理 的 ， 是 
人 靠 行业 协会 标准 和 网 民 自 律 维系 的 一 个 庞大 体系 。Intemet 原 是 一 个 不 设防 的 网 络 空间 ， 
从 学 校 进入 社会 及 企业 和 政府 以 后 ,国家 安全 、 企业 利益 和 个 人 隐私 的 保护 就 日 显 突出 。 
Intemet 资源 紧缺 ,如 IP 地 址 、 域 名 和 带宽 ， 随 着 网 络 的 膨胀 ,造成 了 域名 抢 注 IP 地 址 ， 
垄断 和 信息 严重 受阻 等 现象 。 

Intemet 上 行为 的 法 律 约束 脆弱 ， 原 有 的 法 律 不 完全 适用 ， 适 应 网 络 环境 的 新 法 律 还 
远 远 不 配套 ， 因 此 对 网 络 犯 罪 、 知 识 产权 的 侵犯 和 网 上 逃税 等 问题 缺少 法 律 的 威慑 和 征 
治 能 力 。 对 网 上 的 有 害 信 息 、 非 法 联络 违规 行为 都 很 难 实施 有 效 的 监测 和 控制 。Intemet 
的 跨国 协调 困难 ， 对 过 境 信息 流 的 控制 及 跨国 黑客 犯罪 的 打击 非 数字 产品 关税 收缴 等 问 
题 协调 困难 。Intemet 上 国际 化 与 民族 化 的 冲突 日 益 突出 ， 各 国之 间 的 文化 传统 、 价 值 观 
念 、 语 言 文字 的 差异 造成 了 网 络 行为 的 碰撞 。 


1.4.3 ”Internet 网 络 存 在 的 主要 安全 问题 


(1) TCP/IP 网 络 协议 的 设计 缺陷 。TCP/IP 协议 是 国际 上 最 流行 的 网 络 协议 ， 该 协 
议 在 实现 上 因 力求 实效 ， 而 没有 考虑 安全 因素 ，TCP/IP 本 身 在 设计 上 就 是 不 安全 的 。 例 
如 : 容易 被 窃听 和 欺骗 ;脆弱 的 TCP/P 服务 ;很 多 基于 TCP/P 的 应 用 服务 都 在 不 同 程 
度 上 存在 着 不 安全 的 因素 ; 缺乏 安全 策略 ;配置 的 复杂 性 。 访 问 控制 的 配置 一 般 十 分 复 
杂 ， 所 以 很 容易 被 错误 配置 ， 从 而 给 黑客 以 可 乘 之 机 。 

(2) 薄弱 的 认证 环节 。 例 如 : Intemet 使 用 薄弱 的 、 静 态 的 口令 。 可 以 通过 许多 方法 
破译 。 其 中 最 常用 的 两 种 方法 是 把 加 密 的 口令 解密 和 通过 监视 信道 窃取 口令 ; 一 些 TCP 
或 UDP〔 用 户 数据 包 协 议 ) 服务 只 能 对 主机 地 址 进行 认证 ， 而 不 能 对 指定 的 用 户 进行 
认证 。 

(3) 系统 的 易 被 监视 性 。 例 如 : 当 用 户 使 用 Telnet 或 FTP 连接 在 远程 主机 上 的 账 
户 时 ， 在 Intemet 上 传输 的 口令 是 没有 加 密 的 ， 那 么 侵入 系统 的 一 个 方法 就 是 通过 监视 
携带 用 户 名 和 口令 的 卫 包 获 取 ; X Windows 系统 允许 在 一 台 工 作 站 上 打开 多 重 窗口 来 
显示 图 形 或 多 媒体 应 用 。 冯 入 者 有 时 可 以 在 另外 的 系统 上 打开 窗口 来 读 取 可 能 含有 口令 
或 其 他 敏感 信息 的 击 键 序列 。 

(4) 网 络 系统 易 被 欺骗 性 。 主 机 的 卫 地 址 被 假定 为 是 可 用 的 ，TCP 和 UDP 服务 
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相信 这 个 地 址 。 如 果 使 用 了 “了 P source routing”， 那 么 攻击 者 的 主机 就 可 以 冒充 一 个 被 
信任 的 主机 或 客户 。 简 单 地 说 ，“IP source routing” 是 一 个 用 来 指定 一 条 源 地 址 和 目的 
地 址 之 间 的 直接 路 径 的 选项 。 这 条 路 径 可 以 包括 通常 不 被 用 来 向 前 传送 数据 包 的 主机 或 
路 由 器 。 

(5) 有 缺陷 的 局 域 网 服务 和 相互 信任 的 主机 。 例 如 : 使 用 了 诸如 网 络 信息 服务 
(Network Information Server，NIS) 和 NFS 之 类 的 服务 。 可 以 被 有 经 验 的 冯 入 者 利用 以 
获得 访问 权 ; 允许 主机 们 互相 “信任 ”。 如 果 一 个 系统 被 侵入 或 欺骗 ， 那 么 对 于 冯 入 者 
来 说 ， 获 取 那 些 信任 它 的 访问 权 就 很 简单 了 。 

(6) 复杂 的 设备 和 控制 。 对 主机 系统 的 访问 控制 配置 通常 很 复杂 而 且 难 于 验证 其 正 
确 性 。 因 此 ， 偶 然 的 配置 错误 会 使 间 入 者 获取 访问 权 。 一 些 主要 的 UNIX 经 销 商 仍然 配 
置 成 具有 最 大 访问 权 的 系统 ， 如 果 保 留 这 种 配置 的 话 ， 就 会 导致 未 经 许可 的 访问 。 


1.$S ”网 络 信息 安全 工程 基本 策略 


计算 机 信息 网 络 的 发 展 使 信息 的 共享 和 应 用 日 益 广泛 与 深入 ， 在 建立 系统 的 网 络 安 
全 之 前 ， 必 须 明确 需要 保护 的 资源 和 服务 类 型 、 重 要 程度 和 防护 对 象 等 。 安 全 策略 是 由 
一 组 规则 组 成 的 ， 对 系统 中 所 有 与 安全 相关 元 素 的 活动 作出 一 些 限制 性 规定 。 系 统 提供 
的 安全 服务 ， 其 规则 基本 上 都 来 自 安全 策略 。 


1.5.1 网 络 信息 安全 策略 的 含 》 


网 络 信息 安全 策略 目的 是 决定 一 个 计算 机 网 络 的 组 织 机 构 怎 样 来 保护 自己 的 网 络 
及 其 信息 ， 一 般 来 说 ， 保 护 的 政策 应 包括 两 部 分 : 一 个 总 的 策略 和 一 个 具体 的 规则 。 总 
的 策略 用 于 阐明 安全 政策 的 总 体 思 想 ， 而 具体 的 规则 用 于 说 明 什 么 是 被 允许 的 ， 什 么 是 
被 禁止 的 。 

总 的 信息 安全 策略 是 制定 一 个 组 织 机 构 的 战略 性 指导 方针 ， 并 为 实现 这 个 方针 分 配 
必需 的 人 力 和 物力 。 一 般 由 网 络 组 织 领导 机 构 和 高 层 领导 来 主持 制定 这 种 政策 ， 以 建立 
该 机 构 的 安全 计划 和 基本 的 框架 结构 。 


1.5.2 ”网 络 信息 安全 策略 的 作用 


网 络 信息 安全 策略 计划 的 目的 和 在 该 机 构 中 设计 的 范围 ， 把 任务 分 配给 具体 部 门 和 
人 员 ， 并 且 实 施 这 种 计划 ; 明确 违反 政策 的 行为 及 其 处 理 措施 。 针 对 系统 情况 ， 可 以 有 
以 下 一 些 考虑 。 

(1) 根据 全 系统 的 安全 性 ， 做 统一 规划 ， 对 安全 设备 统一 选 型 。 

(2) 以 网 络 作为 安全 系统 的 基本 单元 。 

(3) 以 网 络 的 安全 策略 统一 管理 。 
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(4) 对 网 络 采取 访问 控制 措施 。 

(5) 负责 安全 审计 跟踪 与 安全 警告 报告 。 

(6) 对 网 络 间 的 数据 传输 ， 可 以 采用 加 密 技术 进行 保护 。 
(7) 整个 系统 采用 统一 的 密 钥 管理 措施 。 

(8) 采用 防 电磁 泄露 技术 ， 特 别 注意 电磁 辐射 。 

(9) 采取 抗 病毒 入 侵 和 检测 消毒 措施 。 

(10) 采取 一 切 技术 和 非 技术 手段 来 保证 系统 的 安全 运行 。 


1.5.3 网 络 信息 安全 策略 的 等 级 


网 络 信息 安全 策略 可 分 为 以 下 4 个 等 级 。 

(1) 不 把 内 部 网 络 和 外 部 网 络 相 联 ， 因 此 一 切 都 被 禁止 。 

(2) 除 那些 被 明确 允许 之 外 ， 一 切 都 被 禁止 。 

(3) 除 那些 被 明确 禁止 之 外 ， 一 切 都 将 被 允许 。 

(4) 一 切 都 被 允许 ， 当 然 也 包括 那些 本 来 被 禁止 的 。 

可 以 根据 实际 情况 ， 在 这 4 个 等 级 之 间 找 出 符合 自己 的 安全 策略 。 当 系统 自身 的 情 
况 发 生变 化 时 ， 必 须 注意 及 时 修改 相应 的 安全 策略 。 


1.5.4 ”网 络 信息 安全 策略 的 基本 内 容 


网 络 信息 安全 策略 重点 包括 如 下 内 容 。 

(1) 网 络 管理 员 的 安全 责任 : 该 策略 可 以 要 求 在 每 台 主机 上 使 用 专门 的 安全 措施 ， 
登录 用 户 名 称 ， 监 测 和 记录 过 程 等 ， 还 可 以 限制 在 网 络 连接 中 所 有 的 主机 不 能 运行 应 用 
程序 。 

(2) 网 络 用 户 的 安全 策略 : 该 策略 可 以 要 求 用 户 每 隔 一 段 时 间 改 变 其 口令 ;使 用 符 
合 安全 标准 的 口令 形式 ， 执 行 某 些 检查 ， 以 了 解 其 账户 是 否 被 别人 访问 过 。 

(3) 正确 利用 网 络 资源 : 规定 谁 可 以 使 用 网 络 资源 ， 他 们 可 以 做 什么 ， 不 应 该 做 什 
么 等 。 对 于 E-mail 和 计算 机 活动 的 历史 ， 应 受到 安全 监视 ， 告 知 有 关 人 员 。 

(4) 检测 到 安全 问题 时 的 策略 : 当 检测 到 安全 问题 时 , 应 做 什么 ?应 该 通知 什么 部 门 ? 
这 些 问 题 都 要 明确 。 


1.5.5 网络 信息 的 安全 机 制 


网 络 信息 的 安全 规则 就 是 根据 安全 策略 规定 的 各 种 安全 机 制 ， 如 身份 认证 机 制 、 授 
权 机 制 、 访 问 控制 机 制 、 数 据 加 密 机 制 、 数 据 完 整 性 机 制 、 数 字 签 名 机 制 、 报 文 鉴别 机 
制 、 路 由 控制 机 制 、 业 务 流 填充 机 制 等 。 

授权 机 制 是 针对 不 同 用 户 赋予 不 同 信息 资源 的 访问 权限 。 对 授权 用 户 控制 的 要 求 
如 下 。 
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(1) 一 致 性 : 即 对 信息 资源 的 控制 没有 二 义 性 ， 各 种 定义 之 间 不 冲突 。 
(2) 统一 性 : 对 所 有 信息 资源 进行 集中 管理 ， 安 全 政策 统一 、 连 贯 。 
(3) 审计 功能 : 可 以 对 所 有 授权 用 户 进行 审计 跟踪 检查 。 

(4) 尽 可 能 提供 相近 粒度 的 检查 。 


1.6 ”信息 安全 工程 主要 研究 方向 


(1) 一 些 政府 试图 延缓 密码 编制 学 的 传播 所 采取 的 输出 控制 条 例 、 密 钥 -契约 计算 等 
措施 将 被 证 明 是 无 效 的 。 原 因 很 简单 : 人 们 将 上 亿美 元 用 于 Internet 的 商业 化 ， 而 且 商 
业 化 的 Internet 需要 密码 编制 学 。 在 大 量 的 计算 机 安全 诉讼 案 获得 胜诉 后 ， 律 师 们 将 对 
有 关 计 算 机 安全 案件 的 胜诉 前 景 产生 足够 的 信心 。 案 件 追 踪 律师 会 大 量 介 入 Intermeb 并 
努力 寻找 用 以 对 抗 计算 机 窃贼 的 系统 缺陷 、 为 “黑客 ”提供 宿主 的 站 点 和 未 对 私人 信息 
提供 足够 保护 的 其 他 网 络 站 点 。 某 种 保护 个 人 数据 隐私 的 法 律 法 规 将 会 建立 。 因 为 到 那 
时 ， 从 事 数据 搜集 的 公司 已 将 他 们 的 业务 转移 到 国外 ， 并 有 服务 机 构 专 职 出 售 信息 ， 而 
其 他 服务 机 构 则 将 过 滤 、 修 正 甚至 “放大 ”这 些 信息 。 

(2) Intemet 没有 国家 界限 ， 这 使 得 政府 如 果 不 在 网 络 上 截断 Intemet 与 本 国 的 联 
系 就 不 可 能 控制 人 们 的 所 见 所 闻 。 但 对 于 像 AOL、Compuserve 及 Microsoft 这 样 具备 
国际 性 系统 的 网 络 ， 即 使 完全 切断 联系 也 没有 用 。 个 人 卫星 通信 系统 等 将 最 终结 束 国家 
的 数据 界限 , 这 将 使 针对 网 络 通信 量 或 交易 量 收 税 的 工作 产生 有 趣 的 和 不 可 预期 的 效应 。 
随 着 网 络 在 规模 和 重要 性 方面 的 不 断 增 长 ， 系 统 和 网 络 管理 技术 的 发 展 将 继续 深入 。 由 
于 很 多 现行 的 网 络 管理 工具 缺乏 最 基本 的 安全 性 ， 使 整个 网 络 将 可 能 被 入 侵 者 完全 破 
坏 ， 达 到 其 法 定 所 有 者 甚至 无 法 再 重新 控制 它们 的 程度 。 最 终 ， 我 们 将 认识 到 网 络 管理 
和 安全 管理 是 同一 事物 的 不 同方 面 ， 两 者 密 不 可 分 、 相 互 关联 。 因 系统 提供 商 的 标准 之 
争 和 公众 对 于 其 私人 信息 与 交易 安全 性 的 担心 而 被 推迟 了 很 长 一 段 时 间 的 在 线 商业 ， 最 
终 将 会 逐步 繁荣 起 来 。 

(3) 现在 如 果 发 生 一 次 主 计 算 机 系统 安全 崩溃 事故 ， 那 么 将 至 少 会 有 几 个 或 更 多 亿 
的 金融 系统 遭 到 破坏 。 随 着 货币 在 形式 上 变 得 越 来 越 电子 化 ， 其 流动 也 就 越 来 越 快 。 这 
种 流动 使 得 货币 在 容易 携带 的 同时 也 更 容易 被 偷窃 。 由 于 大 多 数 至 关 重 要 的 财经 信息 涌 
上 网 络 ， 来 自 于 内 部 的 对 于 系统 安全 性 的 威胁 将 会 变 得 越 来 越 大 。 不 道德 的 雇员 将 会 偷 
走 电子 商品 ， 投 资 者 和 存款 人 不 得 不 让 政府 保护 ， 这 种 偷窃 行为 必 将 增加 财经 领域 中 的 
计算 机 现行 安全 制度 的 压力 。 这 种 制度 或 由 政府 或 由 金融 界 的 审计 员 来 制定 。 

(4) 一 些 软件 公司 将 由 于 产品 质量 或 连带 责任 的 诉讼 而 遭受 巨大 的 经 济 损失 。 软 件 
质量 的 现 权 法 将 逐渐 形成 。 目 前 软件 的 这 种 处 于 模糊 状态 的 售 出 情况 即使 对 于 一 个 能 支 
付 得 起 大 量 金钱 雇佣 律师 甚至 收买 法 律 制定 者 的 软件 公司 来 说 ， 也 会 因 诉讼 的 损失 巨大 
而 不 能 维持 太 久 。 随 着 当代 没有 技术 知识 的 立法 者 和 法 官 被 新 生 的 具有 技术 头脑 的 立法 
者 和 法 官 所 取代 ， 软 件 和 网 络 安全 现 权 法 的 时 代 也 将 到 来 了 。 

(5) 软件 将 主要 以 Java 或 ActiveX 这 样 可 供 下 载 的 可 执行 程序 的 方式 运作 。 网 络 
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安全 管理 系统 的 建造 者 们 需要 找到 如 何 控制 和 维护 可 下 载 式 程序 的 方法 。 同 时 他 们 也 要 
编制 一 些 必要 的 工具 以 防止 某 些 可 下 载 式 有 害 程序 的 蔓延 。 这 样 的 程序 主要 是 病毒 、 特 
洛 伊 木马 以 及 其 他 到 目前 为 止 仍 无 法 想象 出 的 一 些 程序 。 一 些 人 利用 其 软件 开发 人 员 的 
工作 在 某 些 流行 的 网 络 化 软件 中 留 下 了 特洛伊 木马 。 这 使 他 们 日 后 有 能 力 攻 击 成 二 上 万 
的 网 络 系统 ， 构 成 系统 安全 的 严重 危害 。 智 能 卡 和 数字 认证 将 变 得 盛行 。 随 着 越 来 越 多 
的 系统 利用 密码 技术 ， 最 终 用 户 需要 将 密 钥 和 验证 码 存 放 在 不 至 丢失 的 地 方 。 所 以 他 们 
要 用 智能 卡 来 备份 以 防 硬盘 损坏 ， 并 将 智能 卡 广泛 内 置 于 个 人 数字 助手 (PDA) 中 。 

(6) HTTP 文件 格式 将 被 越 来 越 多 的 信息 服务 机 构 作 为 传递 消息 的 方式 。Point cast 
现在 就 是 按照 HTTP 格式 的 反馈 要 求 来 分 渠道 传送 信息 ， 可 以 预见 , 其 他 的 信息 机 构 也 
将 相继 效仿 这 种 方法 。 防 火 墙 对 于 将 安全 策略 应 用 于 数据 流 的 作用 将 减低 并 会 逐渐 失去 
其 效力 。 虚 拟 网 络 将 与 安全 性 相 融 合 ， 并 很 有 希望 与 网 络 管理 系统 结合 起 来 。 软 件 硬件 
将 协同 工作 以 便 将 带 有 不 同类 型 的 目的 和 特性 与 网 络 彼此 隔离 ， 由 此 产生 的 隔离 体 仍 将 
被 称 作 “ 防 火 墙 ”。 


1.7 云 计算 及 云 安 全 的 发 展 趋势 


云 计算 (Cloud Computing) ， 分 布 式 计算 技术 的 一 种 ， 其 最 基本 的 概念 ， 是 透 过 网 
络 将 庞大 的 计算 处 理 程序 自动 分 拆 成 无 数 个 较 小 的 子 程序 ， 再 交 由 多 部 服务 器 所 组 成 的 
庞大 系统 经 搜寻 、 计 算 分 析 之 后 将 处 理 结果 回 传 给 用 户 。 透 过 这 项 技术 ， 网 络 服务 提供 
者 可 以 在 数秒 之 内 ， 达 成 处 理 数 以 千 万 计 甚至 亿 计 的 信息 ， 达 到 和 “超级 计算 机 ”同样 
强大 效能 的 网 络 服务 。 云 计算 的 广泛 应 用 必然 带 了 云 安全 问题 ， 是 我 们 必须 面 对 的 问题 。 


1.7.1 云 计 算 基本 概念 和 特点 


最 简单 的 云 计算 技术 在 网 络 服务 中 已 经 随处 可 见 ， 稍 早 之 前 的 大 规模 分 布 式 计算 技 
术 即 为 “ 云 计算 ”的 概念 起 源 。 例 如 搜寻 引擎 、 网 络 信箱 等 ， 使 用 者 只 要 输入 简单 指令 
即 能 得 到 大 量 信息 。 未 来 如 手机 、GPS 等 行动 装置 都 可 以 透 过 云 计算 技术 ， 发 展 出 更 多 
的 应 用 服务 。 进 一 步 的 云 计算 不 仅 只 做 资料 搜寻 、 分 析 的 功能 ， 未 来 如 分 析 DNA 结构 、 
基因 图 谱 定 序 、 解 析 癌 症 细胞 等 ， 都 可 以 透 过 这 项 技术 轻易 达成 。 

云 计 算 时 代 , 可 以 抛弃 U 盘 等 移动 设备 ， 只 需要 进入 Google Docs 页 面 , 新 建文 档 ， 
编辑 内 容 ， 然 后 直接 将 文档 的 URL 分 享 给 你 的 朋友 或 者 上 司 ， 他 可 以 直接 打开 浏览 器 访 
问 URL。 再 也 不 用 担心 因 PC 硬盘 的 损坏 而 发 生 资料 丢失 事件 。 


1. 狭义 云 计算 
提供 资源 的 网 络 被 称 为 “ 云 ”。“ 云 ”中 的 资源 在 使 用 者 看 来 是 可 以 无 限 扩展 的 ， 


并 且 可 以 随时 获取 ， 按 需 使 用 ， 随 时 扩展 ， 按 使 用 付费 。 这 种 特性 经 常 被 称 为 像 水 电 一 
样 使 用 IT 基础 设施 。 
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2. 广义 云 计 算 

这 种 服务 可 以 是 IT 和 软件 、 互 联网 相关 的 ， 也 可 以 是 任意 其 他 的 服务 。 这 种 资源 池 
称 为 “ 云 ”。“ 云 ”是 一 些 可 以 自我 维护 和 管理 的 虚拟 计算 资源 ， 通 常 为 一 些 大 型 服务 
器 集群 ， 包 括 计算 服 务 器 、 存 储 服 务 器 、 宽 带 资 源 等 。 云 计算 将 所 有 的 计算 资源 集中 起 
来 ， 并 由 软件 实现 自动 管理 ， 无 需 人 为 参与 。 这 使 得 应 用 提供 者 无 需 为 烦琐 的 细节 而 烦 
恼 ， 能 够 更 加 专注 于 自己 的 业务 ， 有 利于 创新 和 降低 成 本 。 这 就 好 比 是 从 古老 的 单 台 发 
电机 模式 转向 了 电厂 集中 供电 的 模式 。 它 意味 着 计算 能 力也 可 以 作为 一 种 商品 进行 流 
通 ， 就 像 煤气 、 水 电 一 样 ， 取 用 方便 ， 费 用 低廉 。 最 大 的 不 同 在 于 ， 它 是 通过 互联 网 进 
行 传输 的 。 

云 计算 是 并 行 计 算 (Parallel Computing) 、 分 布 式 计算 〈Distributed Computing) 和 
网 格 计算 (Grid Computing) 的 发 展 ， 或 者 说 是 这 些 计 算 机 科学 概念 的 商业 实现 。 云 计 
算是 虚拟 化 (Virtualization) 、 效 用 计算 (Utility Computing) 、IaaS (基础 设施 即 服务 〉、 
PaaS 〈 平 台 即 服务 ) 、SaaS 〈 软 件 即 服务 ) 等 概念 混合 演进 并 跃升 的 结果 。 


3. 云 计算 具有 的 主要 特点 


(1) 超大 规模 。“ 云 ”具有 相当 的 规模 ，Google 云 计算 已 经 拥有 100 多 万 台 服 务 
器 ，Amazon、IBM、 微 软 、Yahoo 等 的 “ 云 ” 均 拥有 几 十 万 台 服 务 器 。 企 业 私 有 云 一 般 
拥有 数 百 上 千 台 服务 器 。“ 云 ”能 赋予 用 户 前 所 未 有 的 计算 能 力 。 

(2) 虚拟 化 。 云 计算 支持 用 户 在 任意 位 置 、 使 用 各 种 终端 获取 应 用 服务 。 所 请 求 的 
资源 来 自 “ 云 ”， 而 不 是 固定 的 有 形 的 实体 。 应 用 在 “ 云 ” 中 某 处 运行 ， 但 实际 上 用 户 
无 需 了 解 ， 也 不 用 担心 应 用 运行 的 具体 位 置 。 只 需要 一 台 笔 记 本 或 者 一 个 手机 ， 就 可 以 
通过 网 络 服务 来 实现 所 需要 的 一 切 ， 甚 至 包括 超级 计算 这 样 的 任务 。 

(3) 高 可 靠 性 。“ 云 ”使 用 了 数据 多 副本 容错 、 计 算 节点 同 构 可 互 换 等 措施 来 保障 
服务 的 高 可 靠 性 ， 使 用 云 计算 比 使 用 本 地 计算 机 可 靠 。 

(4) 通用 性 。 云 计算 不 针对 特定 的 应 用 ， 在 “ 云 ” 的 支撑 下 可 以 构造 出 千变万化 的 
应 用 ， 同 一 个 “ 云 ” 可 以 同时 支撑 不 同 的 应 用 运行 。 

(5) 高 可 扩展 性 。“ 云 ”的 规模 可 以 动态 伸缩 ， 满 足 应 用 和 用 户 规模 增长 的 需要 。 

(6) 按 需 服务 。“ 云 ”是 一 个 庞大 的 资源 池 ， 按 需 购买 ， 云 可 以 像 自来水 、 电 、 煤 
气 那 样 计 费 。 

(7) 极其 廉价 。 由 于 “ 云 ”的 特殊 容错 措施 可 以 采用 极其 廉价 的 节点 来 构成 云 ， 
“ 云 ” 的 自动 化 集中 式 管理 使 大 量 企业 无 需 负担 日 益 高 昂 的 数据 中 心 管理 成 本 ，“ 云 ” 
的 通用 性 使 资源 的 利用 率 较 之 传统 系统 大 幅 提 升 ， 因 此 用 户 可 以 充分 享受 “ 云 ” 的 低 成 
本 优势 ， 经 常 只 要 花费 几 百 美元 、 几 天 时 间 就 能 完成 以 前 需要 数 万 美元 、 数 月 时 间 才 能 
完成 的 任务 。 

云 计算 可 以 彻底 改变 人 们 未 来 的 生活 ， 但 同时 也 要 重视 环境 问题 ， 这 样 才能 真正 为 
人 类 进步 做 贡献 ， 而 不 是 简单 的 技术 提升 。 

(8) 潜在 的 危险 性 。 云 计算 服务 除了 提供 计算 服务 外 ， 还 必然 提供 了 存储 服务 。 但 
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是 云 计算 服务 当前 垄断 在 私人 机 构 〈 企 业 ) 手中 ， 而 他 们 仅仅 能 够 提供 商业 信用 。 对 于 
政府 机 构 、 商 业 机 构 〈 特 别 像 银 行 这 样 持 有 敏感 数据 的 商业 机 构 ) 对 于 选择 云 计算 服务 
应 保持 足够 的 警惕 。 一 旦 商业 用 户 大 规模 使 用 私人 机 构 提供 的 云 计 算 服务 ， 无 论 其 技术 
优势 有 多 强 ， 都 不 可 避免 地 让 这 些 私人 机 构 以 “数据 (信息 ) ”的 重要 性 挟 制 整个 社会 。 
对 于 信息 社会 而 言 ，“ 信 息 ” 是 至 关 重 要 的 。 另 一 方面 ， 云 计算 中 的 数据 对 于 数据 所 有 
者 以 外 的 其 他 用 户 云 计算 用 户 是 保密 的 ， 但 是 对 于 提供 云 计 算 的 商业 机 构 而 言 确 实 毫 无 
秘密 可 言 。 这 就 像 常人 不 能 监听 别人 的 电话 ， 但 是 在 电讯 公司 内 部 ， 他 们 可 以 随时 监听 
任何 电话 。 所 有 这 些 潜在 的 危险 ， 是 商业 机 构 和 政府 机 构 选择 云 计 算 服务 ， 特 别 是 国外 
机 构 提供 的 云 计算 服务 时 ， 不 得 不 考虑 的 一 个 重要 的 前 提 。 


4. 判断 云 计 算 的 基本 标准 


到 底 什么 是 云 计 算 ? 这 是 大 家 比较 关注 的 一 个 问题 。 现 在 有 很 多 种 不 同 的 说 法 ， 到 
底 什 么 是 云 ， 什 么 不 是 云 ， 让 人 很 费解 。 有 人 说 公有 云 是 云 ， 私 有 云 不 是 云 ， 还 有 人 说 
支持 虚拟 化 叫 云 ， 不 支持 虚拟 化 不 叫 云 ， 但 是 Google 不 支持 虚拟 化 ， 而 都 认为 Google 
是 云 ; 还 有 人 说 有 1000 台 服 务 器 是 云 ， 好 像 999 台 就 不 是 云 。 现 在 有 个 别 高 性 能 计算 中 
心 ， 什 么 都 没 变 ， 就 是 名 字 改 成 云 计算 中 心 。 作 为 公众 ， 需 要 鉴别 哪些 是 真 云 ， 哪 些 是 
假 云 。 

(1) 用 户 所 需 的 资源 不 在 客户 端 而 来 自 网 络 。 这 是 云 计算 的 根本 理念 所 在 ， 即 通过 
网 络 提供 用 户 所 需 的 计算 力 、 存 储 空间 、 软 件 功能 和 信息 服务 等 。 

(2) 服务 能 力 具有 分 钟 级 或 秒 级 的 伸缩 能 力 。 如 果 资 源 节点 服务 能 力 不 够 ， 但 是 网 
络 流量 上 来 ， 这 时 候 需 要 平台 在 一 分 钟 几 分 钟 之 内 ， 自 动 地 动态 增加 服务 节点 的 数量 ， 
从 100 个 节点 扩展 到 150 个 节点 。 能 够 称 之 为 去 计算， 就 需要 足够 的 资源 来 应 对 网 络 的 
尖峰 流量 ， 流 量 下 来 了 ， 服 务 节点 的 数量 在 随 着 流量 的 减少 而 减少 。 现 在 有 的 传统 IDC 
自称 也 能 提供 伸缩 能 力 ， 但 需要 多 个 小 时 之 后 才能 提供 给 用 户 。 问 题 是 网 络 流量 是 不 可 
预期 的 ， 不 可 能 等 那么 久 。 

(3) 具有 较 之 传统 模式 5 倍 以 上 的 性 能 价格 比 优 势 。 看 了 上 面 一 条 ， 有 些 人 在 想 ， 
没关系 ， 多 配 一 些 机 器 ,流量 再 大 也 应 付 得 了 。 但 这 不 是 云 计算 的 理念 。 云 还 有 个 性 能 
价格 比 指标 。 云 计算 之 所 以 是 一 种 划时代 的 技术 ， 就 是 因为 它 将 数量 庞大 的 廉价 计算 机 
放 进 资源 池 中 ， 用 软件 容错 来 降低 硬件 成 本 ， 通 过 将 云 计算 设施 部 署 在 寒冷 和 电力 资源 
丰富 的 地 区 来 节省 电力 成 本 ， 通 过 规模 化 的 共享 使 用 来 提高 资源 利用 率 。 国 外 代表 性 云 
计算 平台 提供 商 达 到 了 惊人 的 10 一 40 倍 的 性 能 价格 比 提升 。 国 内 由 于 技术 、 规 模 和 统一 
电价 等 问题 ， 暂 时 难以 达到 同等 的 性 能 价格 比 ， 暂 时 将 这 个 指标 定 为 5 倍 。 拥 有 256 个 
节点 的 云 计算 平台 已 经 达到 了 5 一 7 倍 的 性 能 价格 比 提升 ,其 性 能 价格 比 随 着 规模 和 利用 
率 的 提升 还 有 提升 空间 。 


1.7.2 云 计 算 的 发 展现 状 


早 在 20 世纪 60 年 代 麦 卡 锡 (John McCarthy) 就 提出 了 把 计算 能 力作 为 一 种 像 水 和 
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电 一 样 的 公用 事业 提供 给 用 户 。 云 计算 的 第 一 个 里 程 碑 是 ，1999 年 Salesforce.com 提出 
的 通过 一 个 网 站 向 企业 提供 企业 级 的 应 用 概念 。Amazon 使 用 弹性 计算 云 (EC2) 和 简单 
存储 服务 〈S3) 为 企业 提供 计算 和 存储 服务 。 收 费 的 服务 项 目 包 括 存 储 服 务 器 、 带 宽 、 
CPU 资源 以 及 月 租 费 。 月 租 费 与 电话 月 租 费 类 似 ， 存 储 服务 器 、 带 宽 按 容量 收费 ，CPU 
根据 时 长 〈 小 时 ) 运算 量 收费 。 

Google 是 最 大 的 云 计算 的 使 用 者 。Google 搜索 引擎 就 建立 在 分 布 在 200 多 个 地 点 、 
超过 100 万 台 服 务 器 的 支撑 之 上 ， 这 些 设施 的 数量 正在 迅猛 增长 。Google 地 球 、 地 图 、 
Gmail、Docs 等 也 同样 使 用 了 这 些 基础 设施 。 采 用 Google Docs 之 类 的 应 用 ， 用 户 数据 
会 保存 在 互联 网 上 的 某 个 位 置 ， 可 以 通过 任何 一 个 与 互联 网 相连 的 系统 十 分 便利 地 访问 
这 些 数 据 。IBM 在 2007 年 11 月 推出 了 “改变 游戏 规则 ”的 “ 蓝 云 ” 计 算 平台 ， 为 客户 
带 来 即 买 即 用 的 云 计算 平台 。 它 包括 一 系列 的 自动 化 、 自 我 管理 和 自我 修复 的 虚拟 化 云 
计算 软件 ， 使 来 自 全 球 的 应 用 可 以 访问 分 布 式 的 大 型 服务 器 池 。 使 得 数据 中 心 在 类 似 于 
互联 网 的 环境 下 运行 计算 。IBM 正在 与 17 个 欧洲 组 织 合作 开展 云 计 算 项 目 。 欧 盟 提供 
了 1.7 亿 欧 元 作为 部 分 资金 。 该 计划 名 为 RESERVOIR， 以 “无 障碍 的 资源 和 服务 虚拟 
化 ”为 口号 。2008 年 8 月 ，IBM 宣布 将 投资 约 4 亿美 元 用 于 其 设 在 北 卡 罗 来 纳 州 和 日 本 
东京 的 云 计算 数据 中 心 改造 。IBM 计划 在 2009 年 在 10 个 国家 投资 3 亿美 元 建 13 个 云 
计算 中 心 。 

微软 紧 跟 云 计算 步伐 ， 于 2008 年 10 月 推出 了 Windows Azure 操作 系统 。Azure ( 译 
为 “蓝天 ”) 是 继 Windows 取代 DOS 之 后 ， 微 软 的 又 一 次 颠覆 性 转型 一 通过 在 互联 
网 架构 上 打造 新 云 计算 平台 ， 让 Windows 真正 由 PC 延伸 到 “蓝天 ”上 。 微 软 拥有 全 世 
界 数 以 亿 计 的 Windows 用 户 桌 面 和 浏览 器 ， 现 在 它 将 它们 连接 到 “蓝天 ”上 。Azure 的 
底层 是 微软 全 球 基础 服务 系统 ， 由 遍布 全 球 的 第 四 代数 据 中心 构 成 。 

云 计 算 的 新 颖 之 处 在 于 它 几乎 可 以 提供 无 限 的 廉价 存储 和 计算 能 力 。 纽 约 一 家 名 为 
Animoto 的 创业 企业 已 证 明 云 计算 的 强大 能 力 。Animoto 允许 用 户 上 传 图 片 和 音乐 ， 自 
动 生成 基于 网 络 的 视频 演讲 稿 ， 并 且 能 够 与 好 友 分 享 。 该 网 站 目前 向 注册 用 户 提供 免费 
服务 。2008 年 年 初 ， 网 站 每 天 用 户 数 约 为 5000 人 。4 月 中 旬 ， 由 于 Facebook 用 户 开 始 
使 用 Animoto 服务 ， 该 网 站 在 三 天 内 的 用 户 数 大 幅 上 升 至 75 万 人 。Animoto 联合 创始 人 
Stevie Clifton 表示 ， 为 了 满足 用 户 需 求 的 上 升 ， 该 公司 需要 将 服务 器 能 力 提高 100 倍 ， 
但 是 该 网 站 既 没 有 资金 ， 也 没有 能 力 建立 规模 如 此 巨大 的 计算 能 力 。 因 此 ， 该 网 站 与 云 
计算 服务 公司 RightScale 合作 ， 设 计 能 够 在 亚马逊 的 网 云 中 使 用 的 应 用 程序 。 通 过 这 一 
举措 ， 该 网 站 大 大 提高 了 计算 能 力 ， 而 费用 只 有 每 服务 器 每 小 时 10 美 分 。 这 样 的 方式 也 
加 强 创业 企业 的 灵活 性 。 当 需求 下 降 时 ，Animoto 只 需 减 少 所 使 用 的 服务 器 数量 就 可 以 
降低 服务 器 支出 。 

在 我 国 ， 云 计算 发 展 也 非常 迅猛 。2008 年 6 月 24 日 ，IBM 在 北京 BM 中 国 创新 中 
心 成 立 了 第 二 家 中 国 的 云 计 算 中 心 一 一 IBM 大 中 华 区 云 计 算 中 心 ; 世纪 互联 推出 了 
CloudEx 产品 线 ， 包 括 完整 的 互联 网 主机 服务 “CloudEx Computing Service”， 基 于 在 线 
存储 虚拟 化 的 “CloudEx Storage Service”， 供 个 人 及 企业 进行 互联 网 云端 备份 的 数据 保 
全 服务 等 系列 互联 网 云 计 算 服 务 ， 易 度 在 线 工 作 平台 everydo .com 在 云 计 算 领 域 发 展 也 
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很 快 ， 多 款 云 计算 产品 ， 包 括 文档 、 项 目 、 工 作 管理 等 ， 致 力 于 解决 中 小 企业 的 软件 领 
域 问 题 。 


1.7.3 云 安 全 的 发 展 趋势 


云 安全 通过 网 状 的 大 量 客户 端 对 网 络 中 软件 行为 的 异常 监测 ， 获 取 互 联网 中 木马 、 
恶意 程序 的 最 新 信息 ， 推 送 到 服务 端 进 行 自动 分 析 和 处 理 ， 再 把 病毒 和 木马 的 解决 方案 
分 发 到 每 一 个 客户 端 。 云 安全 的 策略 构想 是 : 使 用 者 越 多 ， 每 个 使 用 者 就 越 安 全 ， 因 为 
如 此 庞大 的 用 户 群 ， 足 以 覆盖 互联 网 的 每 个 角落 ， 只 要 某 个 网 站 被 挂 马 或 某 个 新 木马 病 
毒 出 现 ， 就 会 立刻 被 截获 。 

云 安 全 的 发 展 像 一 阵风 ， 瑞 星 、 趋 势 、 卡 巴 斯 基 、MCAFEE、SYMANTEC、 江 民 
科技 、PANDA、 人 金山 、360 安全 卫士 、 卡 卡 上 网 安全 助手 等 都 推出 了 云 安全 解决 方案 。 
瑞星 基于 云 安全 策略 开发 的 2009 新 品 ， 每 天 拦截 数 百 万 次 木马 攻击 ， 其 中 2009 年 1 月 
8 日 更 是 达到 了 765 万 余 次 。 趋 势 科技 云 安全 已 经 在 全 球 建立 了 五 大 数据 中 心 ， 几 万 部 
在 线 服务 器 。 据 悉 ， 云 安全 可 以 支持 平均 每 天 55 亿 条 点 击 查询 ， 每 天 收集 分 析 2.5 亿 个 
样本 ， 资 料 库 第 一 次 命中 率 就 可 以 达到 99%。 借 助 云 安全 ， 趋 势 科技 现在 每 天 阻 断 的 病 
毒 感染 最 高 达 1000 万 次 。 

云 安全 的 核心 思想 是 建立 一 个 分 布 式 统计 和 学 习 平 台 ， 以 大 规模 用 户 的 协同 计算 来 
过 滤 垃 圾 邮件 : 首先 ， 用 户 安装 客户 端 ， 为 收 到 的 每 一 封 邮件 计算 出 一 个 唯一 的 “ 指 
纹 ”， 通 过 比 对 “指纹 ”可 以 统计 相似 邮件 的 副本 数 ， 当 副本 数 达 到 一 定数 量 ， 就 可 以 
判定 邮件 是 垃圾 邮件 ， 其 次 ， 由 于 互联 网 上 多 台 计 算 机 比 一 台 计 算 机 掌握 的 信息 更 多 ， 
因而 可 以 采用 分 布 式 贝 叶 斯 学 习 算法 ， 在 成 百 上 千 的 客户 端 机 器 上 实现 协同 学 习 过 程 ， 
收集 、 分 析 并 共享 最 新 的 信息 。 反 垃圾 邮件 网 格 体现 了 真正 的 网 格 思想 ， 每 个 加 入 系统 
的 用 户 既 是 服务 的 对 象 ， 也 是 完成 分 布 式 统计 功能 的 一 个 信息 节点 ， 随 着 系统 规模 的 不 
断 扩大 ， 系 统 过 滤 垃 圾 邮件 的 准确 性 也 会 随 之 提高 。 用 大 规模 统计 方法 来 过 滤 垃 圾 邮件 
的 做 法 比 用 人 工 智 能 的 方法 更 成 熟 ， 不 容易 出 现 误 判 假 阳性 的 情况 ， 实 用 性 很 强 。 反 垃 
圾 邮件 网 格 就 是 利用 分 布 互联 网 里 的 千 百 万 台 主机 的 协同 工作 ， 来 构建 一 道 拦 截 垃 圾 邮 
件 的 “天 网 ”。 反 垃圾 邮件 网 格 思想 提出 后 ， 被 IEEE Cluster 2003 国际 会 议 选 为 杰出 网 
格 项 目 ， 在 2004 年 网 格 计 算 国际 研讨 会 上 作 了 专题 报告 和 现场 演示 ， 引 起 较为 广泛 的 关 
注 ， 受 到 了 中 国 最 大 邮件 服务 提供 商 网 易 公 司 的 重视 。 既 然 垃圾 邮件 可 以 如 此 处 理 ， 病 
毒 、 木 马 等 亦 然 ， 这 与 云 安 全 的 思想 就 相距 不 远 了 。 
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网 络 信息 安全 工程 是 一 项 涉及 面 广 、 极 其 复杂 的 系统 工程 ， 是 一 个 工程 实践 问题 ， 
又 是 一 个 理论 问题 ， 探 讨 和 研究 网 络 信息 安全 工程 理论 与 应 用 ， 指 导 工 程 实践 是 一 个 现 
实 和 重大 的 课题 。 

本 章 的 主要 内 容 包括 网 络 信息 安全 工程 基本 概念 ， 安 全 体系 结构 与 安全 服务 、 机 制 
的 分 层 配 置 ， 网 络 信息 安全 机 制 ， 密 码 技术 基本 原理 ， 信 息 服务 的 可 用 性 原理 ，OSI 与 
TCP/IP 参考 模型 ， 介 绍 国际 网 络 信息 安全 有 关 标准 的 研究 与 工程 应 用 。 


2.1 网 络 信息 安全 工程 基本 概念 


什么 是 信息 安全 ? 网 络 信息 安全 工程 的 主要 内 容 ， 网 络 信息 系统 安全 威胁 的 分 类 及 
网 络 信息 安全 工程 的 有 关 问 题 是 本 节 要 介绍 的 主要 内 容 。 


2.1.1 网 络 信息 安全 的 概念 


信息 安全 是 指 信息 网 络 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 受 偶然 的 或 者 
恶意 的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ， 系 统 连续 可 靠 正常 地 运行 ， 信 息 服务 不 中 断 。 信 
息 作 为 一 种 资源 ， 它 的 普遍 性 、 共 享 性 、 增 值 性 、 可 处 理性 和 多 效用 性 ， 使 其 对 于 人 类 
具有 特别 重要 的 意义 。 信 息 安 全 的 实质 就 是 要 保护 信息 系统 或 信息 网 络 中 的 信息 资源 免 
受 各 种 类 型 的 威胁 、 干 扰 和 破坏 ， 即 保证 信息 的 安全 性 。 信 息 安全 是 一 门 涉及 计算 机 科 
学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 、 应 用 数学 、 数 论 、 信 息 论 等 多 种 
学 科 的 综合 性 学 科 。 网 络 信息 安全 工程 是 在 网 络 环境 下 ， 保 证 信息 存 取 、 处 理 、 传 输 和 
服务 中 安全 的 保护 工程 。 


2.1.2 ”网 络 信息 安全 工程 的 主要 内 容 


(1) 网 络 信息 安全 工程 是 实现 网 络 中 保证 信息 内 容 在 存 取 、 处 理 、 传 输 和 服务 的 保 
密 性 (机 密 性 )、 完 整 性 和 可 用 性 以 及 信息 系统 主体 的 可 控 性 和 真实 性 等 特征 的 系统 辨别 、 
控制 、 策 略 和 过 程 。 

(2) 保密 性 主要 是 指 信息 只 能 在 所 授权 的 时 间 、 地 点 暴露 给 所 授权 的 实体 ， 即 利用 
密码 技术 对 信息 进行 加 密 处 理 ， 以 防止 信息 泄露 。 

(3) 完整 性 是 指 信息 在 获取 、 传 输 、 存 储 和 使 用 的 过 程 中 是 完整 的 、 准 确 的 和 合法 
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的 ， 防 止 信息 被 非法 删改 、 复 制 和 破坏 ， 也 包括 数据 摘要 、 备 份 等 。 

(4) 可 用 性 是 指 信息 与 其 相关 的 服务 在 正当 需要 时 是 可 以 访问 和 使 用 的 。 

(5) 可 控 性 是 指 信息 网 络 系统 主体 可 以 全 程控 制 信息 的 流程 和 服务 (如 检测 、 监 控 、 
应 急 、 审 计 和 跟踪 )。 

(6) 真实 性 是 指 信息 网 络 系统 主体 身份 (如 和 人、 设备 、 程 序 ) 的 真实 合法 (如 鉴别 、 
抗 否认 )。 


2.1.3 网络 信息 系统 安全 威胁 的 分 类 


网 络 信息 系统 本 身 存 在 着 脆弱 性 ， 常 被 非 授权 用 户 利用 ， 他 们 对 计算 机 网 络 信息 系 
统 进行 非法 访问 ， 这 种 非法 访问 使 系统 中 存储 信息 的 完整 性 受到 威胁 ， 导 致 信息 被 破坏 
而 不 能 继续 使 用 ， 更 为 严重 的 是 系统 中 有 价值 的 信息 被 非法 算 改 、 伪 造 、 窃 取 或 删除 而 
不 留任 何 痕迹 。 另 外 ， 计 算 机 还 易 受 各 种 自然 灾害 和 各 种 误 操作 的 破坏 。 网 络 信息 系统 
安全 威胁 的 分 类 可 以 简单 地 分 成 自然 威胁 和 人 为 威胁 两 种 。 

(1) 自然 威胁 是 指 因 自然 力 造成 的 地 震 、 水 灾 、 风 暴 、 雷 击 等 ， 它 可 以 破坏 计算 机 
系统 实体 ， 也 可 以 破坏 信息 ， 自 然 威胁 可 以 分 为 自然 灾害 、 自 然 损坏 、 环 境 干扰 等 。 自 
然 损 坏 是 由 系统 本 身 的 脆弱 性 而 造成 的 ， 例 如 ， 元 器 件 失效 、 设 备 〈 包 括 计 算 机 、 外 转 
设备 、 通 信 及 网 络 、 供 电 设备 、 空 调 设备 等 ) 故障 、 软 件 故 障 ( 含 系统 软件 和 应 用 软件 )、 
设计 不 合理 、 保 护 功能 差 和 整个 系统 不 协调 等 。 环 境 干 扰 是 诸如 高 低温 冲击 、 电 压 降 低 、 
过 压 或 过 载 、 振 动 冲击 、 电 磁 波 干扰 和 辐射 干扰 等 环境 因素 对 计算 机 系统 造成 的 破坏 。 

(2) 人 为 威胁 分 为 无 意 和 有 意 两 种 。 无 意 威胁 是 过 失 性 的 ， 例 如 操作 失误 、 错 误 理 
解 无 意 造成 的 信息 泄露 或 破坏 。 有 意 威胁 是 指 攻击 ， 如 直接 破坏 建筑 设施 或 设备 、 盗 窃 
资料 及 信息 、 非 法 使 用 资源 、 施 放 病 毒 或 使 系统 功能 改变 等 ， 这 是 应 该 引起 特别 注意 的 。 
有 意 威胁 又 可 分 成 被 动 和 主动 两 类 。 被 动 攻击 包括 只 对 信息 进行 监听 而 不 修改 ， 主 动 攻 
击 包括 对 信息 进行 自 改 等 。 主 要 的 威胁 包括 渗入 式 威胁 〈 内 部 威胁 、 假 冒 、 旁 路 等 ) 和 
植 入 式 威胁 〈 特 洛 伊 木马 、 逻 辑 炸弹 、 后 门 等 )。 另 外 ， 人 员 的 朴 忽 、 窃 听 、 业 务 流 分 析 
等 潜在 威胁 也 很 重要 。 


2.1.4 网 络 信息 安全 工程 有 关 问 题 


(1) 网 络 信息 安全 的 相关 性 。 网 络 信息 安全 既是 一 个 理论 问题 ， 又 是 一 个 工程 实践 
问题 ， 网 络 信息 安全 也 是 一 个 完整 的 系统 概念 。 单 一 的 信息 安全 机 制 、 技 术 和 服务 及 其 
简单 组 合 ， 不 能 保证 网 络 信息 系统 的 安全 、 有 序 和 有 效 地 运行 。 忽 视 信息 系统 运行 、 应 
用 和 变更 对 信息 安全 的 影响 而 制定 的 安全 策略 ， 无 法 获得 对 信息 系统 及 其 应 用 发 生变 化 
所 出 现 的 新 的 安全 脆弱 性 和 威胁 的 认识 ， 这 样 的 安全 策略 是 不 完整 的 ， 只 有 充分 考虑 并 
认识 到 信息 系统 运行 、 应 用 和 变更 可 能 产生 新 的 安全 风险 和 风险 变化 ， 由 此 制定 的 安全 
策略 才 是 完整 的 ， 这 就 是 网 络 信息 安全 的 相关 性 问题 。 

(2) 网 络 信息 安全 的 动态 性 。 安 全 策略 必须 能 根据 风险 变化 进行 及 时 调整 。 一 成 不 
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变 的 静态 策略 ， 在 信息 系统 的 脆弱 性 以 及 威胁 技术 发 生变 化 时 将 变 得 毫 无 安全 作用 ， 因 
此 安全 策略 以 及 实现 安全 策略 的 安全 技术 和 安全 服务 ， 必 须 具 有 “风险 检测 一 实时 响应 
一 策略 调整 一 风险 降低 ”的 良性 循环 能 力 ， 这 就 是 网 络 信息 安全 的 动态 性 问题 。 

(3) 网 络 信息 安全 的 相对 性 。 网 络 信息 安全 策略 的 完整 实现 ， 完 全 依赖 技术 并 不 现 
实 ， 而 且 有 害 。 因 为 信息 安全 与 网 络 拓扑 、 信 息 资源 配置 、 网 络 设备 、 安 全 设备 配置 、 
应 用 业务 ， 用 户 及 管理 员 的 技术 水 平 、 道 德 素养 、 职 业 习惯 等 变化 性 因素 联系 密切 。 因 
此 ， 强 调 完 整 可 控 的 安全 策略 实现 必须 依靠 管理 和 技术 的 结合 ， 这 样 才 符合 信息 安全 自 
身 规律 。 必 要 时 以 牺牲 使 用 方便 性 、 灵 活性 或 性 能 来 换取 信息 系统 整体 安全 是 值得 的 ， 
同时 再 完善 的 网 络 信息 安全 方案 也 有 可 能 出 现 意 想不到 的 安全 问题 ， 这 就 是 网 络 信息 安 
全 的 相对 性 问题 。 

(4) 网 络 信息 安全 的 系统 性 。 只 有 经 过 对 网 络 进行 安全 规划 ， 对 信息 进行 保护 优先 
级 的 分 类 ， 对 信息 系统 的 安全 脆弱 性 〈 包 括 漏洞 ) 进行 分 析 ， 对 来 自 内 外 部 威胁 带 来 的 
风险 进行 评估 ， 建 立 起 PP- DRR (策略 、 保 护 、 检 测 、 响 应 和 恢复 ) 的 安全 模型 ， 形 成 
人 员 安 全 意识 、 安 全 政策 法 律 环境 、 安 全 管理 和 技术 的 安全 框架 ， 才 是 符合 信息 系统 自 
身 实际 的 科学 合理 的 信息 安全 体系 ,这 就 是 网 络 信息 安全 的 系统 性 问题 。 


2.2 ”安全 体系 结构 与 安全 服务 、 机 制 的 分 层 配置 


本 节 介 绍 网 络 中 的 5 类 安全 服务 体系 结构 及 分 层 配置 ， 将 各 种 安全 机 制 和 安全 服务 
映射 到 TCP/IP 的 协议 中 ， 形 成 一 个 基于 TCP/IP 协议 的 网 络 安全 体系 结构 的 内 容 。 


2.2.1 OSI 安全 体系 结构 与 分 层 配置 


ISO7498-2 中 规定 的 网 络 中 的 5 类 安全 服务 如 下 。 

(1) 鉴别 服务 〈 也 叫 认 证 服务 ): 提供 某 个 实体 〈 人 或 系统 ) 的 身份 的 保证 ， 包 括 
对 等 实体 鉴别 和 数据 源 鉴别 。 

(2) 访问 控制 服务 : 保护 资源 以 免 对 其 进行 非法 使 用 和 操纵 。 

(3) 机 密 性 服务 : 保护 信息 不 被 泄露 或 暴露 给 未 授权 的 实体 ， 包 括 连接 机 密 性 、 无 
连接 机 密 性 、 选 择 字段 机 密 性 和 业务 流 保密 。 

(4) 完整 性 服务 : 保护 数据 以 防止 未 授权 的 改变 、 删 除 或 蔡 代 ， 包 括 具 有 恢复 功能 
的 连接 完整 性 、 没 有 恢复 功能 的 连接 完整 性 、 选 择 字 段 连接 完整 性 、 无 连接 完整 性 、 选 
择 字段 无 连接 完整 性 。 

(5) 抗 否 认 服 务 〔( 也 叫 抗 抵 赖 服务 ): 防止 参与 某 次 通信 交换 的 一 方 事后 否认 本 次 
交换 曾经 发 生 过 ， 包 括 源 发 方 抗 否 认 、 接 收 方 抗 否 认 。 

安全 服务 可 以 通过 某 种 安全 机 制 单独 提供 ， 也 可 以 通过 多 种 安全 机 制 联合 提供 : 一 
种 安全 机 制 可 用 于 提供 一 种 安全 服务 , 也 可 以 用 于 提供 多 种 安全 服务 。 在 OSI7 层 协议 
层 中 除 第 5 层 (会 话 层 ) 外 , 每 1 层 均 规定 有 相应 的 安全 服务 ， 实 际 上 安全 服务 最 适宜 
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配置 于 物理 层 、 网 络 层 〈 或 传输 层 ) 和 应 用 层 。 随 着 信息 安全 的 发 展 ， 后 来 安全 界 又 提 
出 了 审计 安全 服务 。 


2.2.2 ”TCP/IP 模型 与 分 层 配 置 


因为 OSI 参考 模型 与 TCP/IP 模型 之 间 存 在 对 应 关系 ， 就 可 以 根据 ISO7498-2 的 安 
全 体系 结构 框架 ， 将 各 种 安全 机 制 和 安全 服务 映射 到 TCP/IP 的 协议 集中 ， 从 而 形成 一 
个 基于 TCP/IP 协议 的 网 络 安全 体系 结构 ， 如 表 2-1 所 示 。 


表 2-1 TCP/IP 协议 模型 中 提供 的 安全 服务 
TCP/P 协议 层 


安全 服务 
对 等 实体 鉴别 
数据 源 鉴 别 
访问 控制 服务 
连接 机 密 性 
无 连接 机 密 性 
选择 字段 机 密 性 
流量 保密 性 
具有 恢复 功能 的 连接 完整 性 
没有 恢复 功能 的 连接 完整 性 
选择 字段 连接 完整 性 
无 连接 完整 性 
选择 字段 非 连接 完整 性 
源 发 方 抗 否认 
接收 方 抗 否 认 
说 明 : Y= 服务 应 作为 选项 并 入 该 层 的 标准 之 中 。 


基于 网 络 安全 体系 结构 的 指导 ， 近 年 来 国内 外 许多 网 络 安全 研究 机 构 和 生产 厂商 针 
对 各 层次 上 的 安全 隐患 ， 不 断 推出 新 的 安全 协议 、 标 准 和 产品 ， 这 反 过 来 又 使 网 络 安全 
体系 结构 的 理论 不 断 充实 与 完善 ， 两 者 互相 促进 着 向 前 发 展 。 


区 


2.3 ”网 络 信息 安全 机 制 


安全 服务 体现 于 安全 体系 结构 配置 层 上 的 协议 中 或 嵌入 协议 中 ， 但 协议 中 的 安全 服 
务 仅 是 安全 服务 输入 和 输出 参数 ， 并 不 作 内 部 处 理 ， 所 有 处 理由 安全 机 制 完 成 ， 独 立 于 
协议 的 安全 机 制 完成 安全 服务 的 实现 和 处 理 ， 是 安全 服务 的 基础 ， 只 有 有 了 安全 的 安全 
机 制 ， 才 可 能 有 可 靠 的 安全 服务 ， 因 此 ， 安 全 机 制 也 是 信息 系统 获得 安全 的 基础 。 
ISO7498-2 中 规定 网 络 中 的 8 类 安全 机 制 是 : 加 密 机 制 、 访 问 控制 机 制 、 数 据 完整 性 机 
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制 、 鉴 别 交换 机 制 、 数 字 签名 机 制 、 抗 否认 机 制 、 路 由 选择 控制 机 制 、 公 证 机 制 。 
2.3.1 加 密 机 制 


加 密 就 是 把 可 懂 的 明文 信息 通过 加 密 算法 的 变换 变 成 不 可 懂 的 密 文 的 过 程 。 加 密 机 
制 提供 数据 存储 、 传 输 的 保密 以 及 数据 流量 的 保密 。 


2.3.2 访问 控制 机 制 


访问 控制 的 目标 是 防止 对 信息 系统 资源 的 非 授权 访问 和 防止 非 授 权 使 用 信息 系统 
资源 。 访 问 控制 策略 决定 了 访问 控制 的 判决 控制 ， 决 定 判决 结果 ， 是 判决 的 主要 依据 ， 
表示 在 一 种 安全 区 域 中 的 安全 要 求 ， 一 个 系统 中 可 以 有 多 个 组 合 的 访问 控制 策略 。 访 问 
控制 策略 可 分 为 3 种 : 基于 规则 的 访问 控制 策略 、 基 于 身份 的 访问 控制 策略 、 基 于 上 述 
两 种 策略 的 组 合 。 

访问 控制 机 制 分 为 以 下 几 类 : 基于 访问 控制 表 的 访问 控制 机 制 、 基 于 能 力 的 访问 控 
制 机 制 、 基 于 标签 的 访问 控制 机 制 、 基 于 上 下 文 的 访问 控制 机 制 。 

访问 控制 的 方法 包括 : 面向 主体 的 访问 控制 、 面 向 客体 的 访问 控制 、 访 问 控制 矩阵 、 
能 力 表 。 


2.3.3 数据 完整 性 机 制 


数据 完整 性 指 的 是 数据 没有 遭受 以 未 授权 方式 所 做 的 算 改 或 未 经 授权 的 使 用 ， 即 数 
据 完整 性 服务 可 以 保证 接收 者 收 到 的 信息 与 发 送 者 发 送 的 信息 完全 一 致 。 数 据 完整 性 是 
针对 数据 的 值 和 数据 的 存在 可 能 被 改变 的 威胁 的 。 

数据 完整 性 可 分 为 单个 数据 单元 或 字段 的 完整 性 和 数据 单元 流 或 字段 流 的 完整 性 ， 
第 一 类 完整 性 服务 虽然 是 第 二 类 完整 性 服务 的 前 提 ， 但 两 种 完整 性 服务 通常 由 不 同 机 构 
提供 。 

数据 完整 性 机 制 可 以 使 用 安全 标签 、 对 称 / 非 对 称 加 密 ， 通 过 纠 错 码 和 检 错 码 、 复 制 
等 方式 实现 。 


2.3.4 鉴别 交换 机 制 


鉴别 是 以 交换 信息 的 方式 来 确认 实体 身份 的 一 种 安全 机 制 。 鉴 别 的 目的 就 是 防止 假 
冒 〈 指 某 一 实体 伪 称 另 一 实体 )， 但 并 不 是 所 有 鉴别 方式 都 与 假冒 方式 相对 应 。 鉴 别 方式 
分 对 称 和 不 对 称 鉴别 法 和 一 般 鉴 别 法 。 

鉴别 基于 以 下 4 种 原理 。 

(1) 已 知 的 ， 如 一 个 秘密 的 口令 。 

(2) 所 拥有 的 ， 如 IC 卡 。 
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(3) 不 可 改变 的 特性 ， 如 用 肉眼 可 以 观察 到 的 特性 。 

(4) 可 信 的 第 三 方 ， 他 已 建立 了 鉴别 。 

鉴别 机 制 是 根据 它们 所 对 抗 的 威胁 分 类 的 ， 某 些 机 制 只 实用 于 两 方 鉴别 ， 某 些 只 适 
于 多 方 鉴别 ， 而 有 一 些 则 两 种 都 适用 。 鉴 别 机 制 有 3 大 类 型 : 0 类 (无 保护 )、1 类 〈 抗 
暴露 保护 ) 和 2 类 〈 抗 重 放 和 重 放 保护 )。 


2.3.5 数字 签名 机 制 


数字 签名 是 附加 在 数据 单元 上 的 一 个 数据 ， 或 对 数据 单元 进行 的 密码 变换 。 通 过 这 
一 数据 或 密码 变换 ， 使 数据 单元 的 接收 者 能 够 证 实数 据 单元 的 来 源 及 其 完整 性 ， 同 时 对 
数据 进行 保护 。 它 提供 了 用 户 身份 鉴别 、 数 据 源 鉴别 、 对 等 实体 鉴别 、 数 据 完整 性 和 抗 
否认 等 安全 服务 。 

完善 的 数字 签名 应 有 以 下 基本 功能 : 签名 者 事后 不 能 否认 自己 对 信息 的 签名 ;接收 
者 和 其 他 人 不 能 伪造 这 个 签名 ， 如 果 当 事 人 双方 对 签名 真 伪 发 生 争执 时 ， 能 在 公正 的 仲 
裁 者 面前 通过 验证 签名 来 确定 真 伪 。 

数字 签名 机 制 分 两 个 基本 过 程 : 对 信息 〈 数 据 ) 进行 签名 的 过 程 ， 简 称 为 签名 ， 对 
数字 签名 的 验证 过 程 。 


2.3.6” 抗 否认 机 制 


抗 否认 机 制 利 用 了 不 同 种 类 的 可 信 第 三 方 (TTP), 不同 形式 的 证 据 以 及 各 种 不 同 的 
保证 方法 。 提 供 证 据 的 方法 主要 有 两 种 ， 需 要 可 信 第 三 方 (TTP〉 对 每 份 文 电 都 记录 一 
些 信息 ， 联 机 的 TTP， 不 需要 任何 TIP 记录 文 电 的 信息 。 抗 否认 分 为 通信 类 和 非 通 信 
类 两 种 。 


2.3.7 ”路 由 选择 控制 机 制 


路 由 选择 控制 机 制 可 使 信息 发 送 者 选择 特殊 的 路 由 ， 以 保证 数据 安全 。 其 基本 功能 
如 下 。 

(1) 路 由 可 以 动态 选取 也 可 以 预定 ， 以 便 仅 使 用 物理 上 安全 的 子 网 络 、 中 继 或 链 路 。 

(2) 在 监测 到 持续 的 操纵 攻击 时 ， 端 系统 可 能 会 通知 网 络 服务 提供 者 另 选 路 由 建立 
连接 。 

(3) 安全 保证 策略 可 能 禁止 携带 安全 保证 标记 的 数据 通过 某 些 子 网 络 、 中 继 或 链 路 。 
连接 的 发 起 者 可 以 提出 有 关 路 由 选择 的 警告 , 要 求 回避 某 些 特定 的 子 网 络 、 链 路 或 中 继 。 


2.3.8 公证 机 制 


在 两 个 或 多 个 实体 间 通 信 的 数据 特性 〈 如 完整 性 、 源 点 、 时 间 和 目的 地 ) 可 以 由 公 
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证 机 构 加 以 保证 ， 这 种 保证 由 第 三 方 公 证 人 提供 。 

公证 人 为 通信 实体 所 信任 并 掌握 必要 的 信息 ， 以 可 以 证 实 的 方式 提供 所 需要 的 保 
证 。 根 据 公 证 人 提供 的 服务 ， 每 个 通信 实体 可 采用 数字 签名 、 加 密 和 完整 性 机 制 。 当 调 
用 上 述 机 制 时 ， 数 据 可 通过 受 保护 的 通信 实体 和 公证 人 在 各 通信 实体 之 间 进 行 通信 。 


2.4 ”密码 技术 基本 原理 


密码 技术 是 信息 安全 技术 中 的 关键 技术 之 一 ， 密 码 技术 的 发 展 历程 ， 密 码 技术 的 基 
本 原理 ， 现 代 密码 学 的 基本 原则 是 本 节 介绍 的 主要 内 容 。 


2.4.1 密码 技术 发 展 及 基本 原理 


密码 技术 在 前 科学 时 代 ( 古 代 到 1948 年 ) 主要 是 隐 写 术 ， 包 括 藏 头 诗 之 类 ; 科学 
时 代 (1948 年 到 1976 年 )， 以 香农 (EShan-non) 发 表 《 通 信保 密 与 数学 基础 》 为 里 程 
碑 ， 主 要 研究 对 称 密码 算法 和 分 析 ; 现代 密码 学 时 代 〈1976 年 到 现在 )， 以 提出 非 对 称 
( 公 钥 ) 密码 思想 为 标志 ， 非 对 称 密码 体制 及 相关 技术 迅速 发 展 ， 并 得 到 广泛 应 用 。 

密码 技术 的 基本 原理 是 在 不 依赖 通信 网 络 的 物理 安全 性 前 提 下 实现 信息 安全 ， 通 过 
对 网 络 传输 数据 的 变换 信息 的 表示 形式 〈 加 密 ) 来 伪装 需 保护 的 敏感 信息 。 根 据 加 密 密 
钥 作 用 方式 的 不 同 ， 数 据 加 密 技术 分 为 对 称 型 加 密 和 非 对称 型 加 密 ， 目 前 在 分 布 式 系统 
环境 下 已 经 广泛 使 用 和 部 署 的 主要 加 密 技 术 有 : RSA、DES、IDEA、PGP、RC4、MD5、 
IPSec 认证 、 用 户 / 密 码 认 证 、 摘 要 算法 的 认证 、PKI 的 认证 以 及 数字 签名 等 。 

密码 技术 包括 密码 编码 和 密码 分 析 ， 密 码 编码 是 将 明文 变 成 密 文 和 把 密 文 变 成 明文 
的 技术 ， 密 码 分 析 是 指 在 未 知 加 密 算法 中 使 用 的 原始 密 钥 情况 下 把 密码 转换 成 明文 的 步 
又 和 运算 。 加 密 算法 〈 或 称 密码 算法 ) 是 在 密 钥 控制 下 的 一 族 数学 运算 。 密 码 技术 主要 
研究 通信 保密 ， 而 且 目 前 仅 限于 计算 机 及 其 保密 通信 。 它 的 基本 思想 就 是 伪装 信息 ， 使 
未 授权 者 不 能 理解 截获 数据 的 含义 。 所 谓 伪装 ， 就 是 对 信息 系统 的 信息 (如 数据 、 软 件 
中 的 指令 ) 进行 一 组 可 逆 的 数学 变换 。 伪 装 前 的 原始 信息 称 为 明文 (PiaintextrP)， 伪 装 
后 的 信息 称 为 密 文 (Cipkertert-C)， 伪 装 的 过 程 称 为 加 密 (Encryption-E)， 加 密 要 在 加 
密 密 钥 (Key-K) 的 控制 下 进行 。 用 于 对 信息 进行 加 密 的 一 组 数学 变换 ， 称 为 加 密 算法 。 
发 信者 将 明文 数据 加 密 成 密 文 ， 然 后 将 密 文 数据 存储 、 传 输 。 授 权 的 接收 者 收 到 密 文 数 
据 之 后 ， 进 行 与 加 密 相 道 的 变换 ， 去 掉 密 文 的 伪装 ， 恢 复明 文 的 过 程 称 为 解密 
(Decryption-D)。 解 密 是 在 解密 密 钥 的 控制 下 进行 的 ， 用 于 解密 的 一 组 数学 变换 称 为 解 
密 算法 。 对 明文 进行 加 密 的 主体 叫 加 密 者 ， 接 收 密 文 的 主体 叫 接收 者 ， 加 密 和 解密 过 程 
组 成 加 密 系统 ， 明 文 和 密 文 统称 为 报 文 。 加 密 系统 采用 的 基本 工作 方式 称 为 密码 体制 ， 
它 是 密码 技术 中 的 关键 概念 。 密 码 体制 的 基本 要 素 是 密码 算法 和 密 钥 ， 其 中 密码 算法 是 
一 些 公式 、 法 则 或 程序 ， 而 密 钥 则 可 看 成 是 密码 算法 中 的 可 变 参数 。 
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2.4.2 ”现代 密码 学 的 基本 原则 


现代 密码 学 的 基本 原则 是 : 一 切 秘密 寅 于 密 钥 之 中 ， 即 加 密 系统 总 是 假定 密码 算法 
可 公开 ， 真 正 保密 的 只 是 密 钥 。 密 码 算 法 的 基本 要 求 是 在 已 知 密 钥 条 件 下 的 计算 应 是 简 
洁 有 效 的 ， 而 不 知道 密 钥 条 件 下 的 解密 计算 是 不 可 行 的 。 理 论 上 通过 穷尽 所 有 可 能 的 密 
钥 值 〈《 密 钥 的 长 度 有 限 ) 总 可 以 破译 密 文 的 内 容 ， 但 是 若 密 钥 长 度 足 够 ， 穷 举 法 不 能 在 
所 需 的 时 间或 可 承受 的 成 本 内 完成 ， 破 译 就 没有 意义 。 宏 观 评估 加 密 算法 的 安全 性 主要 
考虑 : 破译 的 代价 是 否 大 于 可 能 获得 的 结果 ;破译 的 时 间 是 否 大 于 结果 的 有 效 期 ， 是 否 
能 产生 足够 多 的 数据 供 破译 使 用 。 

加 密 系统 在 网 络 环境 下 可 能 会 受到 主动 ( 算 改 、 干扰 、 重 放 、 假冒 ) 攻击 和 被 动 〈 窃 
听 ) 攻击 。 按 照 攻击 的 目标 彻底 攻破 、 全 局 推演 、 实 例 推演 或 信息 推演 )， 对 密码 系统 
可 采取 下 列 攻击 方法 ， 如 图 2-1 所 示 。 


有 | x 


已 知 密 文 已 知 明文 / 密 文 对 密 钥 分 析 
(根据 已 知 的 密 钥 之 间 的 关系 或 密 钥 的 
-部 分 来 试图 发 现 整个 密 钥 ) 
已 知 明文 / 密 文 选择 明文 


适应 性 选择 
2-1 对 加 密 系统 的 常用 攻击 方法 


被 动 攻 击 的 首要 目的 在 于 试图 了 解密 文 和 密 钥 的 内 容 ， 包 括 : 未 知 算法 仅 从 密 文 进 
行 破译 ; 在 已 知 算法 的 前 提 下 根据 密 文 进行 破译 ， 在 已 知 算法 的 前 提 下 ， 攻 击 者 拥有 部 
分 密 文 和 对 应 的 明文 来 对 密 钥 破 译 ， 攻 击 者 已 掌握 了 装 有 加 密 密 钥 的 加 密 装 置 ， 无 法 获 
得 密 钥 ， 但 能 有 选择 地 收集 到 任意 出 现 的 明文 和 与 之 对 应 的 密 文 信息 ; 攻击 者 已 拥有 装 
有 解密 密 钥 的 解密 装置 ， 希 望 能 够 找 出 加 密 密 钥 。 

主动 攻击 的 意图 在 于 算 改 或 伪造 密 文 ， 以 达到 伪造 明文 的 目的 ， 包 括 : 攻击 者 可 以 
〈 像 合法 用 户 一 样 ) 发 送 加 密 的 信息 ; 攻击 者 可 以 截获 或 重 发 信息 〈 重 放 ); 攻击 者 可 以 
任意 算 改 信息 。 另 外 ， 破 译 某 种 密码 算法 的 能 力 意味 着 今后 可 获得 更 多 的 明文 ， 很 有 意 
义 ， 因 此 破译 者 大 多 不 会 主动 承认 对 某 种 密码 算法 的 破译 能 力 。 各 种 攻击 的 存在 使 得 完 
整 的 加 密 系 统 要 有 数据 鉴别 和 数据 完整 性 保护 设施 。 加 密 系 统 的 各 元 素 及 其 关系 如 图 
2-2 所 示 。 

需要 注意 的 是 ， 加 密 算法 的 安全 强度 可 以 用 数学 的 方法 来 保证 ， 但 攻击 者 采用 社会 
工程 套 取 密 钥 、 密 码 甚至 明文 来 攻击 密码 系统 往往 要 容易 得 多 。 
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加 密 密 钥 解密 密 钥 


' ' 明文 P 


| ~| 加 密 算法 E 摆 密 算法 D 一 | 
(加 从 》 密 算法 | 二 解密 算法 D (接收 ) 
《攻击 者 ) (攻击 者 ) 玫 —=| P' 


自 改 、 干扰 、 重 放 


1 
关于 算法 、 信 息 、 密 多 
密码 系统 以 及 其 人 


图 2-2 ”加密 系 统 中 各 元 素 的 关系 


密码 编码 学 基于 算法 的 分 类 如 图 2-3 所 示 ， 从 中 可 以 比较 宏观 地 把 握 密 码 编码 学 的 
总 体 框架 。 每 种 算法 在 信息 安全 保障 中 都 有 不 同 的 应 用 ， 一 个 分 布 式 网 络 环境 的 应 用 系 
统 , 为 保障 信息 的 机 密 性 、 完整 性 、 可 用 性 可 能 需要 组 合 使 用 图 2-3 中 的 3 大 类 算法 ( 非 
密 钥 系 列 、 对 称 密 钥 系列 、 公 开 密 钥 系 列 ) 和 相关 技术 ， 应 掌握 密码 学 的 分 类 方法 。 


任意 长 度 单 向 函数 
单 向 置换 


到 


非 密 钥 系列 


分 组 加 密 
对 和 窜 负 加密 ” 此 一 | 
一 “一 | 流 加 密 
任意 长度 单 向 丽 数 
(WACS) 
对 称 密 钥 系列 本 


伪 随 机 序列 
标识 系列 


公开 密 钥 加 密 
公开 密 钥 系列 | 签名 
标识 系列 


2-3 ”密码 编码 学 基于 算法 的 分 类 


自身 密 钥 式 密码 算法 连锁 蔡 换 式 密码 算法 ) 加 密 时 先 利用 数据 中 前 面 的 字母 作为 
相 邻 后 面 字母 的 密 钥 进行 加 密 ， 然 后 再 把 前 面 的 密 文字 母 作 为 后 面相 邻 明 文字 母 的 密 钥 
逐次 进行 加 密 。 这 种 使 数据 内 容 彼 此 相关 的 方法 已 广泛 地 被 现代 基于 计算 机 处 理 的 加 密 
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算法 用 来 进行 数据 完整 性 保护 。 
2.5 ”信息 服务 的 可 用 性 原理 


信息 服务 的 可 用 性 是 信息 系统 发 展 的 必要 条 件 ， 本 节 主 要 介绍 信息 服务 可 用 性 和 高 
可 用 性 基本 原理 概念 ， 信 息 服 务 可 用 性 的 主要 目标 ， 实 现 信 息 网 络 系统 的 高 可 用 性 主要 
应 用 技术 。 


2.5.1 信息 服务 可 用 性 基本 概念 


可 用 性 是 指 系统 的 一 个 或 多 个 部 件 发 生 故 障 导致 系统 性 能 下 降 或 客户 服务 中 断 的 
程度 。 可 用 性 〈availability) 这 个 词 的 字面 意义 。 可 用 性 〈 名 词 ) 是 指 需要 时 ， 可 以 获 
得 的 质量 。 换 名 话说， 信息 服务 的 可 用 性 是 指 需要 时 信息 服务 可 以 使 用 。 这 个 定义 简单 
且 意义 深刻 。 比 如 ， 当 您 登录 到 一 个 交易 处 理 系统 或 者 浏览 一 个 网 站 时 ， 和 希望 能 够 进入 
交易 或 者 看 到 站 点 应 当 提供 的 信息 。 工 作 人 员 在 上 班 时 间 可 以 接 入 交易 处 理 系统 或 Web 
服务 ， 而 在 非 工作 日 可 将 系统 关闭 ， 进 行 备份 或 其 他 维护 。 

可 用 信息 服务 设计 的 基本 原理 : 需要 时 ， 信 息 服务 必须 尽 可 能 可 用 。 也 就 是 说 ， 对 
于 只 在 白天 上 班 的 工作 人 员 ， 信 息 服 务 没有 必要 在 晚间 也 保持 持续 可 用 性 。 同 样 道理 ， 
路 由 电话 呼叫 或 提供 紧急 服务 的 系统 却 必须 每 天 二 十 四 小 时 都 可 用 。 可 用 信息 服务 设计 
的 关键 在 于 ， 准 确 分 析 服 务 的 可 用 性 需求 ， 然 后 设计 系统 和 操作 程序 ， 使 系统 能 够 满足 
上 述 需求 。 


2.5.2 ”信息 服务 可 用 性 的 主要 目标 


(1) 影响 信息 服务 可 用 性 的 两 个 重要 因素 。 

Q@ 性能: 许多 系统 尽管 在 功能 上 可 用 ， 但 性 能 水 平 却 因 部 分 功能 的 丧失 而 下 降 。 
当 一 个 网 上 购物 站 点 的 硬盘 或 集群 处 理 器 发 生 故 障 时 ， 虽 然 仍然 能 够 接收 订单 ， 但 其 整 
体 服务 效能 却 会 下 降 。 当 今 系统 的 设计 通常 都 可 以 做 到 当 某 些 部 件 发 生 故 障 时 ， 仍 然 可 
以 继续 提供 服务 ， 但 性 能 水 平 则 会 下 降 。 

@ 功能 : 即使 故障 使 系统 不 能 按 设 计 的 正常 状态 运行 ， 但 它 还 能 够 提供 某 些 价值 。 
比如 ， 当 一 个 预定 系统 的 交易 数据 库 正 在 备份 ， 可 能 暂时 不 能 接受 新 的 预定 ， 但 它 仍然 
能 够 检查 预定 状态 并 回复 其 他 询问 。 

(2) 设计 可 用 信息 服务 的 目标 主要 。 

中 当 需 要 使 用 时 。 

@ 故障 环境 下 具有 足够 的 性 能 。 

@ 故障 环境 下 具有 足够 的 功能 。 

并 不 是 所 有 系统 都 必须 每 天 二 十 四 小 时 可 用 ， 并 保持 其 所 有 功能 的 最 佳 性 能 水 平 。 
可 用 性 的 基本 作用 是 能 够 让 可 用 系统 的 设计 者 设计 出 满足 企业 可 用 性 需求 的 系统 ， 同 时 
是 负担 得 起 的 。 
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2.5.3 ”信息 服务 的 高 可 用 性 


随 着 企业 的 成 功 越 来 越 依赖 于 他 们 的 信息 技术 服务 ， 而 实际 上 是 ， 企 业 信息 服务 的 
可 用 性 对 于 企业 的 生存 越 来 越 重 要 。 信 息 服 务 管理 人 员 很 容易 相信 ， 仅 有 可 用 系统 是 远 
远 不 够 的 。 如 果 信 息 服 务 对 企业 的 生存 很 重要 ， 很 显然 ， 企 业 的 信息 服务 应 当 基 于 高 可 
用 系统 而 不 是 低 可 用 系统 。 

国际 存储 网 络 工业 协会 (The Storage Networking Industry Association， SNIA) 在 线 
辞典 定义 的 高 可 用 性 : 系统 在 相当 长 的 一 段 时 间 内 连续 (没有 中 断 ) 执行 其 功能 的 能 力 。 
这 个 相当 长 的 时 间 是 指 该 系统 的 各 部 件 的 正常 运营 时 间 比 业界 建议 的 可 靠 运行 时 间 还 要 
长 。 高 可 用 性 大 多 数 情况 下 通过 容错 来 实现 。 高 可 用 性 是 一 个 不 容易 量化 的 术语 。 无 论 
是 系统 高 可 用 性 的 范围 ， 还 是 高 可 用 性 的 程度 ， 都 必须 按照 个 案 分 析 的 原则 才能 清楚 
理解 。 

通常 信息 服务 高 可 用 性 是 : 系统 能 够 让 其 用 户 及 时 完成 他 们 的 工作 任务 ， 即 使 某 些 
功能 发 生 故 障 ， 只 有 这 样 ， 该 系统 才 具 有 高 可 用 性 。 应 当 通 过 以 下 两 个 方面 确定 系统 的 
可 靠 性 程度 : 一 是 系统 的 重要 性 : 二 是 系统 使 用 的 频率 。 对 于 一 个 只 在 八 小 时 工作 日 使 
用 的 系统 , 每 天 晚间 (停机) 将 它 的 数据 库 复 制 到 一 个 远程 站 点 用 于 灾难 恢复 是 适当 的 ， 
而 对 于 一 个 需要 连续 使 用 的 系统 而 言 ， 这 种 方法 就 不 适合 。 


2.5.4 实现 网 络 信息 系统 的 高 可 用 性 


使 系统 具有 高 可 用 性 而 采用 的 主要 技术 如 下 。 

(1) 用 现 有 组 件 配置 计算 机 系统 。 

(2) 确定 最 可 能 发 生 故障 的 系统 组 件 。 

(3) 为 已 经 确定 为 容易 发 生 故 障 的 组 件 安装 、 配 置 见 余 组 件 ， 这 样 某 一 个 组 件 出 现 
故障 另 一 个 组 件 可 以 接管 它 。 系 统 组 件 ， 无 论 多 么 可 靠 ， 最 终 都 会 失效 。 增 加 元 余 组 件 
配置 ， 能 够 自动 替换 ， 防 止 部 件 故障 导致 严重 系统 停机 。 系 统 能 够 自动 替换 故障 组 件 ， 
而 不 需要 中 断 系 统 , 等 待 手工 蔡 换 。 高 可 用 系统 很 大 程度 上 依赖 于 监控 系统 组 件 的 软件 ， 
并 在 必要 时 将 功能 切换 到 宛 余 组 件 。 

软件 通过 几 种 形式 使 计算 机 系统 具有 高 可 用 性 。 

(1) 磁盘 子 系统 固件 和 基于 服务 器 的 卷 管理 器 ， 监 控 磁 盘 镜像 并 在 故障 发 生 时 重新 
定向 输入 /输出 数据 流 。 

(2) 运行 在 服务 器 端 或 智能 存储 设备 上 的 多 路 径 软件 (如 VERITAS 的 卷 管理 器 或 
EMC 的 PowerPath) 检测 存储 设备 的 故障 ， 并 响应 和 重 定向 输入 /输出 请 求 到 预备 路 径 。 

(3) 故障 元 余 管理 软件 监控 应 用 ， 如 果 同 一 服务 器 或 其 他 服务 器 上 的 应 用 不 能 响应 
时 则 重新 启动 。 

(4) 网 络 软件 检测 到 远 端 计 算 机 的 响应 故障 时 ， 输 入 /输出 请 求 将 被 重 定向 到 备用 网 
络 路 径 。 
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(5) 网 络 交换 机 和 路 由 器 相互 监控 ， 当 检测 到 故障 时 ， 会 将 流量 自动 路 由 到 备用 
路 径 。 


2.5.5 部件 故 障 和 和 宕 机 


计算 机 系统 中 的 任何 组 件 都 可 能 出 现 故 障 。 设 计 高 可 用 系统 的 关键 是 预测 最 可 能 发 
生 的 故障 ， 并 以 此 配置 系统 的 硬件 、 软 件 和 程序 ， 这 样 ， 当 某 个 组 件 发 生 故 障 时 ， 系 统 
才能 尽快 恢复 。 

(1) 最 常见 的 部 件 故障 如 下 。 

Q@ 系统 月 溃 。 

@ 应 用 程序 月 省。 

@ 磁盘 月 省。 

@ 磁盘 已 满 。 

@ 网 络 故障 。 

@ 断 电 。 

@ 数据 中 心 故障 。 

建筑 物 灾难 。 

@ 较 大 范围 的 灾难 。 

高 可 用 性 技术 的 一 个 明显 优势 就 是 能 够 让 系统 保持 运营 (尽管 系统 的 性 能 级 别 可 能 
下 降 )， 并 且 能 够 从 第 二 次 故障 或 灾难 中 恢复 ， 当 然 需要 采取 完全 恢复 措施 ， 如 图 2-4 
所 示 。 


To 时 刻 TI 时 刻 T 时 刻 T: 时 刻 Ti 时 刻 


2-4 全 部 宕 机 时 间 示 意图 


(2) 全 部 宕 机 时 间 。 我 们 关心 降级 运行 时 间 ， 主 要 是 因为 如 果 在 降级 运行 期 间 发 生 
第 二 次 故障 ， 再 从 第 二 次 故障 或 灾难 中 恢复 几乎 不 可 能 ， 从 而 导致 更 长 的 停机 时 间 ， 是 
指 系统 宕 机 时 间 T, 到 系统 恢复 服务 时 间 Ts 之 间 的 间隔 。 时 间 Ts 和 时 间 T4 之 间 的 间隔 ， 
也 是 灾难 恢复 要 考虑 的 最 后 一 个 时 段 。 这 一 时 段 代 表 了 完成 从 故障 或 灾难 的 恢复 必须 安 
排 的 计划 内 停机 。 对 于 磁盘 故障 ， 计 划 内 停机 是 必需 的 ， 以 便 蔡 换 机 柜 中 的 故障 磁盘 。 
对 于 毁坏 数据 中 心 的 灾难 ， 当 被 毁 的 数据 中 心 重新 组 建 和 重新 设置 之 后 ， 通 常 需 要 计划 
内 停机 ， 这 样 信息 服务 便 能 够 从 恢复 站 点 转 回 主要 站 点 。 

在 宕 机 的 4 个 时 段 中 ， 时 间 长 短 与 成 本 和 复杂 性 此 消 彼 长 。 目 前 的 技术 可 以 将 每 一 
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个 时 段 缩减 到 最 小 ， 但 在 某 些 情况 下 ， 采 用 这 些 技术 的 实际 成 本 会 非常 高 。 设 计 信息 服 
务 可 用 性 策略 时 ， 必 须 考虑 宕 机 的 每 一 个 时 段 对 服务 恢复 的 重要 性 。 

Q@ 恢复 时 间 。 

@ 数据 实时 性 或 恢复 点 。 

@ 降级 运行 时 间 。 

@ 计划 内 停机 。 

缩短 这 几 个 时 段 非常 重要 ， 因 此 有 必要 根据 企业 的 信息 服务 要 求 、 企 业 希 望 防 护 的 
故障 或 灾难 类 型 进行 投资 。 

从 以 上 例子 看 出 ， 规 划 信 息 服 务 的 灾难 恢复 相当 于 规划 较 简单 的 局 部 故障 恢复 ， 换 
名 话说， 从 信息 技术 的 角度 来 看 ， 对 系统 提供 灾难 保护 相当 于 对 数据 中 心 提供 故障 保护 
(显然 , 使 整个 数据 中 心 瘫痪 的 灾难 事件 对 个 人 和 整个 企业 的 后 勤 保 障 都 会 产生 影响 : 而 
一 般 情况 下 , 数据 中 心 内 部 的 事故 影响 没有 这 么 大 )。 灾 难 恢复 策略 是 与 企业 提供 高 可 用 
信息 服务 必 不 可 缺 的 部 分 。 

不 同 的 信息 服务 有 不 同 的 可 用 性 要 求 。 有 些 系统 对 企业 的 运营 十 分 关键 ， 哪 怕 是 短 
暂 的 宕 机 都 不 能 接受 。 对 于 有 些 服 务 ， 长 时 间 的 宕 机 可 能 会 造成 违法 事件 或 者 企业 的 全 
盘 竣 病 。 有 的 服务 非常 重要 ， 必 须 防 止 宕 机 ， 但 可 以 接受 短 时 或 适度 宕 机 。 然 而 有 的 服 
务 对 可 用 性 的 要 求 并 不 高 ， 可 以 容忍 长 时 间 岩 机 ， 至 少 在 某 些 非 关键 时 间 可 以 容忍 。 用 
于 提高 信息 服务 可 用 性 的 技术 及 投资 成 本 如 图 2-5 所 示 。 


a 管理 服务 和 应 用 程序 
> 管理 客户 端 理 经 
局 域 环境 设施 


网 络 (LAN 和 SAN) 
磁盘 和 卷 管理 

可 靠 的 备份 方案 

和 优良 的 系统 管理 经 


ES 了 4 


2-5 用 于 提高 信息 服务 可 用 性 的 技术 及 投资 成 本 


可 用 人 性 的 高 成 本 是 企业 运营 在 关键 信息 服务 方面 的 投资 。 企 业 投资 开发 和 运营 信息 
服务 ， 是 因为 信息 服务 或 多 或 少 对 企业 很 重要 。 由 于 预料 之 外 的 故障 或 灾难 引起 宕 机 是 
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企业 规划 的 失误 。 关 键 系统 必须 受到 适当 级 别 的 容错 和 容 灾 保护 ， 从 而 提供 必要 的 可 用 
性 。 由 于 更 高 级 别 的 容错 系统 更 复杂 ， 需 要 的 资源 更 多 ， 因 此 可 用 性 成 本 的 增长 速度 比 
可 用 性 的 增长 更 快 。 通 常 的 规则 是 : 服务 系统 的 可 用 性 每 增加 一 个 级 别 ， 提 供 特定 信息 
服务 的 成 本 就 增加 10 倍 ， 图 2-5 显示 了 这 个 规则 。 图 2-5 表明 了 使 用 某 些 特定 技术 实现 
高 级 别 可 用 性 成 本 。 我 们 强调 : 灾难 可 恢复 性 通常 建立 在 高 可 用 局 域 系 统 基础 之 上 ， 从 
而 保障 系统 能 够 从 局 域 故障 中 恢复 。 


2.6 OSI 与 TCP/IP 参考 模型 


OSI 参考 模型 定义 了 开放 系统 的 层次 结构 和 各 层 所 提供 的 服务 。 它 清晰 地 分 开 了 服 
务 、 接 口 和 协议 这 3 个 容易 混淆 的 概念 。TCP/IP 模型 包含 了 一 簇 网 络 协议 ，TCP 和 卫 
是 其 中 最 重要 的 两 个 协议 ， 它 们 虽然 都 不 是 OSI 的 标准 协议 ， 但 事实 证 明 它们 工作 得 
很 好 ， 已 经 被 公认 为 事实 上 的 标准 ， 也 是 国际 互联 网 所 采用 的 标准 协议 。 


2.6.1 开放 系统 互 连 参考 模型 


开放 系统 互 连 参考 模型 (Open Systems Interconnection Reference Model) 简称 OSI 
参考 模型 ， 由 国际 标准 化 组 织 ISO 在 20 世纪 80 年 代 初 提出 ， 即 ISOTEC7498， 定 义 
了 网 络 互联 的 基本 参考 模型 。 它 最 大 的 特点 是 开放 性 。 不 同 厂家 的 网 络 产品 ， 只 要 遵照 
这 个 参考 模型 ， 就 可 以 实现 互 连 、 互 操作 和 可 移植 性 ， 也 就 是 说 ， 任 何 遵循 OSI 标准 
的 系统 ， 只 要 物理 上 连接 起 来 ， 它 们 之 间 都 可 以 互相 通信 。 

OSI 参考 模型 定义 了 开放 系统 的 层次 结构 和 各 层 所 提供 的 服务 。 它 清晰 地 分 开 了 服 
务 、 接 口 和 协议 这 3 个 容易 混淆 的 概念 。 服 务 描述 了 每 一 层 的 功能 ， 接 口 定义 了 某 层 提 
供 的 服务 如 何 被 高 层 访问 ， 而 协议 是 每 一 层 功 能 的 实现 方法 。 通 道 区 分 这 些 抽象 概念 ， 
OSI 参考 模型 将 功能 定义 与 实现 细节 分 开 来 ， 概 括 性 高 ， 使 它 具 有 普遍 的 适应 能 力 。 

OSI 参考 模型 是 有 7 个 层次 的 框架 ， 如 图 2-6 所 示 。 

从 下 向 上 的 7 个 层次 分 别 是 物理 层 、 数 据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 
层 和 应 用 层 。 该 模型 有 下 面 几 个 特点 。 

(1) 每 层 的 对 应 实体 之 间 都 通过 各 自 的 协议 通信 。 

(2) 各 个 计算 机 系统 都 有 相同 的 层次 结构 。 

(3) 不 同系 统 的 相应 层次 有 相同 的 功能 。 

(4) 同一 系统 的 各 层次 之 间 通 过 接口 联系 。 

(5) 相 邻 的 两 层 之 间 ， 下 层 为 上 层 提供 服务 , 同时 上 层 使 用 下 层 提供 的 服务 。 图 2-6 
中 点 划 线 框 内 是 通信 子 网 ， 它 和 网 络 硬件 (如 网 卡 、 交 换 机 和 路 由 器 〉 的 关系 密切 ;而 
从 传输 层 开始 向 上 ， 不 再 设计 通信 子 网 的 细节 ， 只 考虑 最 终 通 信者 之 间 端 到 端的 通信 
问题 。 
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应 用 层 协 议 


应 用 层 < > 应 用 层 APDU 
， le 表示 层 协议 [表示 局 ee 
水 浆 
会 话 层 协 议 
S 会 话 层 a 会 话 层 协议 四 会 话 层 ey 
水 - 网 水 
传输 层 ”|< 全 答 原 霓 记 >| 传输 层 TPDU 
丈 i 人 孙 
3 网 络 层 ”|<-/>| 网络 层 ”|<->| 网络 层 | 全 >| ”网 络 层 Packet 
水 | 水 
1 
2 | 数据 链 路 层 “|<-|>| 数据 链 路 层 < 一 >| 数据 链 路 层 |<<- >| 数据 链 路 层 Frame 
水 | | 水 
1 物理 必 |<>| 物色 层 |< 一 >| 物理 层 |< >>| 物理 导 Bits 
1 1 
层 机 A \、 路 由 节点 路 由 节点 / E 机 B 协议 数据 
“0 - 单元 名 称 
图 2-6 OSI 参考 模型 示意 图 
1. 物理 层 


物理 层 (Physical Layer) 负责 在 计算 机 之 间 传 递 数据 位 ， 它 为 在 物理 媒体 上 传输 的 
比特 流 建立 规则 。 该 层 定 义 电缆 如 何 连 接 到 网 卡 上 ， 以 及 需要 用 何 种 传送 技术 在 电缆 上 
发 送 数 据 ， 同 时 还 定义 了 位 同步 及 检查 。 物 理 层 表示 软件 与 硬件 之 间 的 实际 连接 ， 定 义 
其 上 一 层 一 一 数据 链 路 层 所 使 用 的 访问 方法 。 

物理 层 是 OSI 参考 模型 的 最 低层 ， 向 下 直接 与 物理 传输 介质 相连 接 。 物 理 层 协议 是 
各 种 网 络 设备 进行 互 连 时 必须 遵守 的 低层 协议 。 设 立 物 理 层 的 目的 是 实现 两 个 网 络 物理 
设备 之 间 二 进 制 比特 流 的 透明 传输 ， 对 数据 链 路 层 屏蔽 物理 传输 介质 的 特性 ， 以 便 对 高 
层 协 议 有 最 大 的 透明 性 。 

物理 层 主要 特点 如 下 。 

(1) 物理 层 主要 负责 在 物理 连接 上 传输 二 进 制 比特 流 。 

(2) 物理 层 提供 为 建立 、 维 护 和 释放 物理 连接 所 需要 的 机 械 、 电 气 、 功 能 与 规程 的 
特性 。 

在 几 种 常用 的 物理 层 标准 中 ， 通 常 将 具有 一 定数 据 处 理 及 发 送 、 接 收 数据 能 力 的 设 
备 称 为 数据 终端 设备 (Data Terminal Equipment，DTE)， 而 把 介 于 DTE 与 传输 介质 之 
间 的 设备 称 为 数据 电路 终端 设备 (Data Circuit-terminating Equipment，DCE)。DCE 在 
DTE 与 传输 介质 之 间 提 供 信号 变换 和 编码 功能 , 并 负责 建立 、 维护 和 释放 物理 连接 。 DTE 
可 以 是 一 台 计 算 机 ， 也 可 以 是 一 台 IO 设备 。DCE 的 典型 设备 是 与 电话 线路 连接 的 调制 
解 调 器 。 

在 物理 层 通信 过 程 中 , DCE 一 方面 要 将 DTE 传送 的 数据 , 按 比特 流 顺 序 逐 位 发 往 
传输 介质 ， 同 时 也 需要 将 从 传输 介质 接收 到 的 比特 流 顺 序 传送 给 DTE。 因 此 在 DTE 与 
DCE 之 间 ， 既 有 数据 信息 传输 ， 也 应 有 控制 信息 传输 ， 这 就 需要 高 度 协调 地 工作 ， 需 要 
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制定 DTE 与 DCE 接口 标准 ， 而 这 些 标准 就 是 物理 接口 标准 。 

物理 接口 标准 定义 了 物理 层 与 物理 传输 介质 之 间 的 边界 与 接口 。 物 理 接口 的 4 个 特 
性 如 下 。 

(1) 机 械 特性 。 物 理 层 的 机 械 特性 规定 了 物理 连接 时 所 使 用 可 接 插 连 接 器 的 形状 和 
尺寸 ， 连 接 器 中 引 脚 的 数量 与 排列 情况 等 。 

(2) 电气 特性 。 物 理 层 的 电气 特性 规定 了 在 物理 连接 上 传输 二 进 制 比特 流 时 线路 上 
信号 电 平 高 低 、 阻 抗 及 阻抗 匹配 、 传 输 速率 与 距离 限制 。 早 期 的 标准 定义 了 物理 连接 边 
界 点 上 的 电气 特性 ， 而 较 新 的 标准 定义 了 发 送 和 接收 器 的 电气 特性 ， 同 时 给 出 了 互 连 电 
缆 的 有 关 规 定 。 新 的 标准 更 有 利于 发 送 和 接收 电路 的 集成 化 工作 。 

(3) 功能 特性 。 物 理 层 的 功能 特性 规定 了 物理 接口 上 各 条 信号 线 的 功能 分 配 和 确切 
定义 。 物 理 接口 信号 线 一 般 分 为 : 数据 线 、 控 制 线 、 定 时 线 和 地 线 。 

(4) 规程 特性 。 物 理 层 的 规程 特性 定义 了 信号 线 进行 二 进 制 比特 流传 输 线 的 一 组 操 
作 过 程 ， 包 括 各 信号 线 的 工作 规则 和 时 序 。 不 同 物理 接口 标准 在 以 上 4 个 重要 特性 上 都 
不 尽 相 同 。 


2. 数据 链 路 层 


数据 链 路 层 (Data-link Layer) 是 OSI 模型 中 极其 重要 的 一 层 , 它 把 从 物理 层 来 的 原 
始 数 据 打 包 成 帧 。 帧 是 放置 数据 的 、 逻 辑 的 、 结 构 化 的 包 。 数 据 链 路 层 负 责 帧 在 计算 机 
之 间 的 无 差错 传递 。 

数据 链 路 层 是 OSI 参考 模型 的 第 二 层 ， 它 介 于 物理 层 与 网 络 层 之 间 。 设 立 数据 链 路 
层 的 主要 目的 是 将 一 条 原始 的 、 有 差错 的 物理 线路 变 为 对 网 络 层 无 差错 的 数据 链 路 。 为 
了 实现 这 个 目的 ， 数 据 链 路 层 必 须 执 行 链 路 管理 、 帧 传输 、 流 量 控制 、 差 错 控制 等 功能 。 

在 OSI 参考 模型 中 ， 数 据 链 路 层 向 网 络 层 提供 以 下 基本 的 服务 。 

(1) 数据 链 路 建立 、 维 护 与 释放 的 链 路 管理 工作 。 

(2) 数据 链 路 层 服务 数据 单元 帧 的 传输 。 

(3) 差错 检测 与 控制 。 

(4) 数据 流量 控制 。 

(5) 在 多 点 连接 或 多 条 数据 链 路 连接 的 情况 下 ， 提 供 数据 链 路 端口 标识 的 识别 ， 支 
持 网 络 层 实体 建立 网 络 连 接 。 

(6) 帧 接收 顺序 控制 。 

数据 链 路 层 的 服务 用 户 是 网 络 层 实体 ， 它 为 网 络 层 提供 服务 ， 同 时 它 又 使 用 物理 层 
所 提供 的 服务 。 数 据 链 路 层 对 等 实体 间 的 通信 一 般 要 经 过 数据 链 路 建立 、 数 据 传输 与 数 
据 链 路 释放 3 个 阶段 。 

数据 链 路 连接 与 物理 连接 的 关系 如 下 。 

(1) 当 链 路 两 端 节点 处 于 关闭 状态 时 ， 连 接 这 两 个 节点 的 物理 线路 处 于 静止 状态 。 

(2) 当 链 路 两 端 节点 开机 后 ， 由 于 物理 层 协议 的 作用 ， 这 两 个 节点 之 间 已 经 可 以 通 
过 物理 线路 进行 比特 流传 输 ， 但 是 由 于 没有 建立 数据 链 路 ， 因 此 传输 是 不 可 靠 的 。 在 节 
点 开机 后 至 未 建立 数据 链 路 的 这 段 时 间 物 理 线路 处 于 空闲 状态 。 
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(3) 数据 链 路 从 建立 到 释放 阶段 称 为 物理 线路 活动 状态 ， 这 段 时 间 称 为 数据 链 路 生 
存 期 。 
(4) 链 路 两 端的 节点 从 开机 到 关机 的 时 间 段 称 为 物理 连接 生存 期 。 


3. 网 络 层 


网 络 层 (Network Layer) 定义 网 络 层 实体 通信 用 的 协议 ， 它 确定 从 源 节点 沿 着 网 络 
到 目的 节点 的 路 由 选择 ,并 处 理 相关 的 控制 问题 ， 如 交换 、 路 由 和 对 数据 包 阻 塞 的 控制 。 

数据 链 路 层 协议 是 相 邻 两 个 直接 连接 节点 间 的 通信 协议 ， 设 置 网 络 层 的 主要 目的 就 
是 要 为 报 文 分 组 以 最 佳 路 径 通过 通信 子 网 到 达 目 的 主机 提供 服务 ， 而 网 络 用 户 不 必 关 心 
网 络 的 拓扑 结构 与 所 使 用 的 通信 介质 。 

OSI 参考 模型 规定 网 络 层 的 主要 功能 有 以 下 三 点 。 

(1) 路 径 选 择 与 中 继 。 在 点 一 点 连接 的 通信 子 网 中 ， 信 息 从 源 节点 出 发 ， 要 经 过 若 
干 个 中 继 节 点 的 存储 转发 后 ， 才 能 到 达 目 的 节点 。 通 信子 网 中 的 路 径 是 指 从 源 节点 到 目 
的 节点 之 间 的 一 条 通路 ， 它 可 以 表示 为 从 源 节点 到 目的 节点 之 间 的 相 邻 节点 及 其 链 路 的 
有 序 集合 。 一 般 在 两 个 节点 之 间 都 会 有 多 条 路 径 选择 。 路 径 选 择 是 指 在 通信 子 网 中 ， 源 
节点 和 中 间 节 点 为 将 报 文 分 组 传送 到 目的 节点 而 对 其 后 继 节 点 的 选择 ， 这 是 网 络 层 所 要 
完成 的 主要 功能 之 一 。 

(2) 流量 控制 。 网 络 中 多 个 层次 都 存在 流量 控制 问题 ， 网 络 层 的 流量 控制 则 对 进入 
分 组 交换 网 的 通信 量 加 以 一 定 的 控制 ， 以 防 因 通信 量 过 大 造成 通信 子 网 性 能 下 降 。 

(3) 网 络 连 接 建 立 与 管理 。 在 面向 连接 服务 中 ， 网 络 连接 是 传输 实体 之 间 传 送 数据 
的 逻辑 的 、 贯 穿 通信 子 网 的 端 对 端 通信 通道 。 


4. 传输 层 


传输 层 (Transport Layer) 的 任务 是 向 用 户 提供 可 靠 的 、 透明 的 、 端 到 端 (End to End) 
的 数据 传输 ， 以 及 差错 控制 和 流量 控制 机 制 。 由 于 它 的 存在 ， 网 络 硬件 技术 的 任何 变化 
对 高 层 都 是 不 可 见 的 ， 也 就 是 说 ， 会 话 层 、 表 示 层 、 应 用 层 的 设计 不 必 考 虑 底层 硬件 细 
节 ， 因 此 传输 层 的 作用 十 分 重要 。 

所 谓 端 到 端 是 相对 链接 而 言 的 。OSI 参考 模型 的 四 层 到 七 层 属于 端 到 端 方式 ， 而 一 
到 三 层 属于 链接 方式 。 在 传输 层 ， 通 信 双 方 的 两 机 器 之 间 ， 有 一 对 应 用 程序 或 进程 直接 
对 话 ， 它 们 并 不 关心 底层 的 实现 细节 ， 底 层 的 链接 方式 就 不 一 样 ， 它 要 负责 处 理 通信 链 
路 中 的 任何 相 邻 机 器 之 间 的 通信 。 

网 络 层 通过 网 络 层 与 传输 层 的 接口 向 传输 层 提供 服务 ， 同 样 传输 层 也 通过 与 高 层 的 
接口 向 高 层 提 供 服务 。 传 输 层 提 供 服务 的 类 型 是 在 连接 建立 时 确定 的 ， 最 重要 的 服务 是 
端 到 端的 、 可 人 靠 的 、 面 向 连接 的 字 节 流 服务 ， 在 这 种 方式 下 ， 信 息 单元 的 传递 是 严格 按 
照发 送 顺序 执行 的 。 传 输 层 的 协议 必须 能 够 在 不 可 靠 的 通信 子 网 上 进行 连接 管理 : 包括 
“三 次 握手 ”(three-way hand shake) 式 的 连接 建立 、 维 护 连接 ， 以 及 释放 连接 。 即 便 在 
比较 可 靠 的 通信 子 网 上 ， 传 输 层 的 协议 也 有 大 量 工作 要 做 ， 如 处 理 服 务 原 语 、 维 护 连 
接 等 。 
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传输 层 的 功能 是 在 网 络 层 提供 服务 的 基础 上 建立 的 。 一 般 情况 下 ， 传 输 层 为 每 一 条 
传输 连接 生成 一 条 网 络 连接 ， 需 要 高 吞吐 率 的 传输 连接 可 以 同时 占用 多 条 网 络 连接 ， 相 
反 ， 为 了 节省 网 络 带宽 及 降低 费用 ， 也 可 以 有 多 条 传输 连接 复 用 同一 条 网 络 连接 。 

传输 层 的 另 一 个 重要 功能 是 流量 控制 ， 因 为 本 层 的 流量 控制 是 关于 通信 主机 端 到 端 
之 间 的 ， 所 以 与 其 他 层 的 流量 控制 有 明显 不 同 。 


S. 会 话 层 


会 话 层 〈Session Layer) 允许 在 不 同 机 器 上 的 两 个 应 用 建立 、 使 用 和 结束 会 话 ， 在 
会 话 的 两 台 机 器 间 建 立 对 话 控制 ， 管 理 哪 边 发 送 、 何 时 发 送 、 占 用 多 长 时 间 等 。 

会 话 层 建立 在 传输 层 之 上 ， 由 于 利用 传输 层 提供 的 服务 ， 使 得 两 个 会 话 实 体 之 间 不 
考虑 它们 之 间 相 隔 多 远 、 使 用 什么 样 的 通信 子 网 等 网 络 通信 细节 ， 进 行 透 明 的 、 可 靠 的 
数据 传输 。 当 两 个 应 用 进程 进行 相互 通信 时 ， 和 希望 有 第 三 者 的 进程 能 组 织 它 们 的 通话 ， 
协调 它们 之 间 的 数据 流 ， 以 便 使 应 用 进程 专注 于 信息 交互 ， 设 立会 话 层 就 是 为 了 达到 这 
个 目的 。 从 OSI 参考 模型 看 ， 会 话 层 之 上 各 层 是 面向 应 用 的 ， 会 话 层 之 下 各 层 是 面向 网 
络 通信 的 。 会 话 层 在 两 者 之 间 起 到 连接 的 作用 。 会 话 层 的 主要 功能 是 向 会 话 的 应 用 进程 
之 间 提供 会 话 组 织 和 同步 服务 ， 对 数据 的 传送 提供 控制 和 管理 ， 以 达到 协调 会 话 过 程 、 
为 表示 层 实 体 提供 更 好 的 服务 。 

会 话 层 与 传输 层 有 明显 的 区 别 。 传 输 层 协议 负责 建立 和 维护 端 到 端的 逻辑 连接 。 传 
输 服务 比较 简单 ， 目 的 是 提供 一 个 可 靠 的 传输 服务 。 但 是 由 于 传输 层 所 使 用 的 通信 子 网 
类 型 很 多 ， 并 且 网 络 通信 质量 差异 很 大 ， 这 就 造成 传输 协议 的 复杂 性 。 而 会 话 层 在 发 出 
一 个 会 话 协议 数据 单元 时 ， 传 输 层 可 以 保证 将 它 正确 地 传送 到 对 等 的 会 话 实体 ， 从 这 点 
看 ， 会 话 协议 得 到 了 简化 。 但 是 为 了 达到 为 各 种 进程 服务 的 目的 ， 会 话 层 定义 的 为 数据 
交换 用 的 各 种 服务 是 非常 丰富 和 复杂 的 。 

会 话 层 定义 了 多 种 服务 可 选择 ， 并 将 相关 的 服务 组 成 了 功能 单元 。 目 前 定义 有 12 
个 功能 单元 ， 每 个 功能 单元 提供 一 种 可 选择 的 工作 类 型 ， 在 会 话 建立 时 可 以 就 这 些 功 能 
单位 进行 协商 。 最 重要 的 功能 单元 提供 会 话 连接 、 正 常数 据 传送 、 有 序 释 放 、 用 户 放弃 
与 提供 者 放弃 5 种 服务 。 为 了 方便 用 户 选择 使 用 合适 的 功能 单元 ， 会 话 服务 定义 了 如 下 
3 个 子 集 。 

(1) 基本 组 合子 集 。 为 用 户 提供 会 话 连接 建立 、 正 常数 据 传送 、 令 牌 (TOKEN) 的 
处 理 及 连接 释放 等 基本 服务 。 

(2) 基本 同步 子 集 。 在 基本 组 合子 集 的 基础 上 增加 为 用 户 通 信 过 程 同 步 功 能 ， 能 在 
出 错时 从 双方 确认 的 同步 点 重新 开始 同步 。 

(3) 基本 活动 子 集 。 在 基本 组 合子 集 的 基础 上 加 入 了 活动 的 管理 。 会 话 服务 可 分 为 
两 个 部 分 : 会 话 连接 管理 和 会 话 数据 交换 。 会 话 连接 管理 服务 使 得 一 个 应 用 进程 在 一 个 
完整 的 活动 或 事务 处 理 中 ， 通 过 会 话 连接 与 另 一 个 对 等 应 用 进程 建立 和 维持 一 条 会 话 
通道 。 

在 已 经 建立 会 话 连 接 上 的 正常 数据 交换 方式 是 双 工 方式 。 会 话 层 同时 允许 用 户 定义 
另外 两 种 工作 方式 : 单 向 通信 与 半 双 工 方式 。 


32 网 络 信息 安全 工程 原理 与 应 用 


6. 表示 层 


表示 层 (Presentation Layer) 包含 了 处 理 网 络 应 用 程序 数据 格式 的 协议 。 表 示 层 位 
于 应 用 层 的 下 面 和 会 话 层 的 上 面 ， 它 从 应 用 层 获 得 数据 并 把 它们 格式 化 以 供 网 络 通信 使 
用 。 该 层 将 应 用 程序 数据 排序 成 一 个 有 含义 的 格式 并 提供 给 会 话 层 。 这 一 层 也 通过 提供 
诸如 数据 加 密 的 服务 来 负责 安全 问题 ， 并 压缩 数据 以 使 得 网 络 上 需要 传送 的 数据 尽 可 
能 少 。 

表示 层 位 于 OSI 参考 模型 的 第 六 层 。 比 它 的 低 五 层 用 于 将 数据 从 源 主机 传送 到 目的 
主机 ， 而 表示 层 则 要 保证 所 传输 的 数据 经 传送 后 其 意义 不 改变 。 表示 层 要 解决 的 问题 是 : 
如 何 描述 数据 结构 并 使 之 与 机 器 无 关 。 在 计算 机 网 络 中 ， 互 相通 信 的 应 用 进程 需要 传输 
的 是 信息 的 语义 ， 它 对 通信 过 程 中 信息 的 传送 语法 并 不 关心 。 表 示 层 的 主要 功能 是 通过 
一 些 编码 规则 定义 在 通信 中 传送 这 些 信息 所 需要 的 传送 语法 。 


7. 应 用 层 


应 用 层 (Application Layer) 是 最 终 用 户 应 用 程序 访问 网 络 服务 的 地 方 。 应 用 层 是 OSI 
参考 模型 的 最 高 层 ， 它 为 用 户 的 应 用 进程 访问 OSI 环境 提供 服务 。OSI 关心 的 主要 是 
进程 之 间 的 通信 行为 ， 因 而 对 应 用 进程 所 进行 的 抽象 只 保留 了 应 用 进程 与 应 用 进程 间 交 
互 行为 的 有 关 部 分 。 这 种 现象 实际 上 是 对 应 用 进程 某 种 程度 上 的 简化 。 经 过 抽象 后 的 应 
用 进程 就 是 应 用 实体 (Application Entity，AE)。 对 等 应 用 实体 间 的 通信 使 用 应 用 协议 。 
应 用 协议 的 复杂 性 差别 很 大 ， 有 的 涉及 两 个 实体 ， 有 的 涉及 多 个 实体 ， 而 有 的 应 用 协议 
则 涉及 两 个 或 多 个 系统 。 目 前 已 成 为 OSI 标准 的 应 用 层 协 议 有 如 下 几 种 。 

(1) 文件 传送 、 访 问 与 管理 协议 〈File TransferAccess and Management，FTAM)。 

(2) 公共 管理 信息 协议 (Common Management Information Protocol，CMIP )。 

(3) 虚拟 终端 协议 (Virtual Terminal Protocol，VTP)。 

(4) 事务 处 理 协议 (Transaction Processing，TP)。 

(5) 远程 数据 库 访 问 协议 (Remote Database Access，RDA)。 

(6) 制造 业 报 文 规范 协议 (Manufacturing Message Specificationhmsh，MMS )。 

(7) 目录 服务 协议 (Directory Service，DS )。 

(8) 报 文 处 理 系统 协议 (Message Handling System，MHS )。 


2.6.2 ”OSI 参考 模型 中 的 数据 传输 


图 2-7 是 OSI 参考 模型 中 数据 的 传输 方式 。 所 谓 数据 单元 是 指 各 层 传输 数据 的 最 
小 单位 。 图 2-7 中 最 右边 一 列 交换 数据 单元 名 称 ， 是 指 各 个 层次 对 等 实体 之 间 交 换 的 数 
据 单元 的 名 称 。 所 谓 协议 数据 单元 (PDU) 就 是 对 等 实体 之 间 通 过 协议 传送 的 数据 。 应 
用 层 的 协议 数据 单元 为 APDU (Application Protocol Data Unit)， 表 示 层 的 用 户 数据 单元 
叫 PPDU， 以 此 类 推 。 网 络 层 的 协议 数据 单元 ， 通 常 称 为 分 组 或 数据 包 〈Packet)， 数 据 
链 路 层 是 数据 帧 (Frame)， 物 理 层 是 比特 。 图 2-7 中 自 上 而 下 的 实 线 表 示 的 是 数据 的 实 
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际 传送 过 程 。 发 送 进程 需要 发 送 某 些 数据 到 达 目 标 系统 的 接收 进程 ， 数 据 首先 要 经 过 本 
系统 的 应 用 层 ， 应 用 层 在 用 户 数据 前 面 加 上 自己 的 标识 信息 (H7)， 叫 作 头 信息 。H7 加 
上 用 户 数据 一 起 传送 到 表示 层 ， 作 为 表示 层 的 数据 部 分 ， 表 示 层 并 不 知道 哪些 是 原始 用 
户 数据 、 哪 些 是 H7， 而 是 把 它们 当 作 一 个 整体 对 待 。 同 样 ， 表 示 层 也 在 数据 部 分 前 面 加 
上 自己 的 头 信息 H6, 传送 到 会 话 层 ， 并 作为 会 话 层 的 数据 部 分 。 这 个 过 程 一 直 进行 到 数 
据 链 路 层 ， 数 据 链 路 层 除 了 增加 头 信 息 H2 以 外 ， 还 要 增加 一 个 尾 信息 T2， 然 后 整个 作 
为 数据 部 分 传送 到 物理 层 。 物 理 层 不 再 增加 头 〈 尾 ) 信息 ， 而 是 直接 将 二 进 制 数 据 通 过 
物理 介质 发 送 到 目的 节点 的 物理 层 。 目 的 节点 的 物理 层 收 到 该 数据 后 ， 逐 层 上 传 到 接收 
进程 , 其 中 数据 链 路 层 负责 去 掉 H2 和 T2, 网 络 层 负责 去 掉 H3, 一 直到 应 用 层 去 掉 H7， 
把 最 原始 用 户 数据 传递 给 了 接收 进程 。 


发 送 进程 数据 i 接收 进程 
= 二 二 一 
应 用 层 H7 | 数据 应 用 层 APDU 
表示 屋 H6 | 数据 | 表示 层 PPDU 
会 话 层 加 | 数据 会 话 层 SPDU 
|| (2 于 = 
传输 层 | ba 数据 传输 层 TPDU 
网 络 层 H3 | 数据 网 络 屋 Packet 
EN DE 浊 生 训 训 
数据 链 路 层 下 数据 12 数据 链 路 层 “| Frame 
物理 层 数据 比特 物理 层 Bits 
EE 机 A E 机 B 协议 数据 
机 A +: 
实际 数据 传输 路 径 单元 名 称 


图 2-7 OSI 参考 模型 中 的 数据 传输 


这 个 在 发 送 节点 自 上 而 下 逐 层 增 加 头 《〈 尾 ) 信息 ， 而 在 目的 节点 又 自 下 而 上 逐 层 去 
掉头 〈 尾 ) 信息 的 过 程 叫 作 封装 elleapsulation)， 封 装 是 在 网 络 通 信 中 很 常用 的 手段 。 

协议 数据 单元 主要 用 于 描述 同一 层次 中 的 对 等 实体 之 间 的 虚 连接 ， 如 图 2-7 中 的 横 
向 带 箭头 虚线 所 示 。 纵 向 传输 的 数据 用 接口 数据 单元 (IDU) 表示 。 接 口 数据 单元 指 相 
邻 层 次 之 间 通 过 接口 传递 的 数据 ， 它 分 为 两 部 分 ， 即 接口 控制 信息 和 服务 数据 单元 。 其 
中 ， 接 口 控制 信息 只 在 接口 局 部 有 效 ， 不 会 随 数据 一 起 传递 下 去 ， 而 服务 数据 单元 ， 是 
真正 提供 服务 的 有 效 数据 ， 它 的 内 容 基本 上 与 协议 数据 单元 一 致 。 用 简单 的 公式 表示 就 
是 : 接口 数据 单元 = 控制 信息 + 服务 数据 单元 。 

服务 数据 单元 是 用 于 层 与 层 接口 的 概念 ， 而 协议 数据 单元 用 于 描述 同一 层次 对 等 实 
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体 之 间 交 换 的 数据 ， 是 一 个 逻辑 上 的 概念 , 实际 上 , 第 N 层 的 协议 数据 单元 要 作为 N 层 
与 N-1 层 接口 的 服务 数据 单元 传递 给 N-1 层 。 


2.6.3 ”TCP/IP 参考 模型 


ARPANET 的 主要 目的 是 为 了 应 付 第 二 次 世界 大 战 以 后 美 苏 两 个 超级 大 国 冷战 的 需 
要 ， 保 证 一 旦 网 络 受到 部 分 破坏 ， 其 他 部 分 仍然 能 够 正常 工作 。 当 时 ARPANET 已 经 实现 
了 异种 机 互 连 , 而 且 数 据 传输 方式 也 多 种 多 样 。 最 初 , 它 的 网 络 连接 方式 只 有 租用 线路 一 种 ， 
后 来 随 着 卫星 微波 等 多 种 通信 手段 的 加 入 , 最 初 的 协议 设计 已 不 能 满足 不 断 变 化 的 需求 。 因 
此 需要 设计 一 种 灵活 的 、 可 靠 的 能够 对 异种 网 络 实现 无 颖 连接 的 体系 结构 , 它 就 是 TCP/IP 
参考 模型 。 如 图 2-8 所 示 ，TCP/IP 模型 包含 了 一 簇 网 络 协议 ，TCP 和 卫 是 其 中 最 重要 的 
两 个 协议 , 它们 虽然 都 不 是 OSI 的 标准 协议 , 但 事实 证 明 它 们 工作 得 很 好 , 已 经 被 公认 
为 事实 上 的 标准 ， 也 是 国际 互联 网 所 采用 的 标准 协议 ， 如 图 2-8 所 示 。 


应 用 层 FIP DNS SMIP HTTP 
传输 层 TCP UDP 

网 络 互 连 层 IP (Intemet Protocol) 

网 络 接口 层 Ethemet Ss Pocket 


图 2-8 TCP/IP 参考 模型 示意 图 


TCP/IP 参考 模型 中 的 各 个 协议 在 RFC (Request For Comments) 文档 中 都 有 详细 的 
定义 。RFC 主要 是 关于 国际 互联 网 协议 标准 及 建议 草案 等 方面 的 技术 文档 。 

1. 网 络 接口 层 

网 络 接 口 层 〈Host-tbnetwork Layer)， 也 称 为 主机 一 网 络 层 。 在 TCP/IP 参考 模型 中 
没有 详细 定义 这 一 层 的 功能 ， 只 是 指出 通信 主机 必须 采用 某 种 协议 连接 到 网 络 上 ， 并 且 
能 够 传输 网 络 数据 分 组 。 具 体 使 用 哪 种 协议 ， 在 本 层 里 没有 规定 。 实 际 上 根据 主机 与 网 
络 拓扑 结构 的 不 同 ， 局 域 网 基本 上 采用 了 IEEE 802 系列 的 协议 ， 如 IEEE 802.3 以 太 网 
协议 、IEEE 802.5 令 牌 环 网 协议 ;广域网 较 常 采用 的 协议 有 PPP (Point-to-Point)、 帧 中 
继 、X.25 等 。 


2. 网 络 互 连 层 
网 络 互 连 层 (Intemet Layer) 的 主要 功能 是 负责 在 互联 网 上 传输 数据 分 组 。 网 络 互 
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连 层 与 OSI 参考 模型 的 网 络 层 相 对 应 ， 相 当 于 OSI 参考 模型 中 网 络 层 的 无 连接 网 络 
服务 。 

网 络 互 连 层 是 TCP/IP 参考 模型 中 最 重要 的 一 层 ， 它 是 通信 的 枢纽 ， 从 底层 来 的 数 
据 包 要 由 它 来 选择 继续 传 给 其 他 网 络 节点 或 是 直接 交 给 传输 层 , 对 从 传输 层 来 的 数据 包 ， 
要 负责 按照 数据 分 组 的 格式 填充 报头 ， 选 择 发 送 路 径 ， 并 交 由 相应 的 线路 发 送出 去 。 

在 网 络 互 连 层 ， 主 要 定义 了 网 络 互 连 协议 〈Intemet Protocol，IP) 及 数据 分 组 的 格 
式 。 它 的 主要 功能 是 路 由 选择 和 拥塞 控制 。 另 外 ， 本 层 还 定义 了 地 址 解析 协议 ARP、 反 
向 地 址 解析 协议 RARP 及 ICMP 协议 。 


3. 传输 层 


传输 层 (Transport Layer) 的 主要 功能 是 负责 端 到 端的 对 等 实体 之 间 进 行 通信 。 它 与 
OSI 参考 模型 的 传输 层 功 能 类 似 ， 也 对 高 层 屏 蔽 了 底层 网 络 的 实现 细节 ， 同 时 它 真正 实 
现 了 源 主机 到 目的 主机 的 端 到 端的 通信 。TCP/IP 参考 模型 的 传输 层 完全 是 建立 在 包 交 换 
通信 子 网 基础 之 上 的 。TCP/IP 的 传输 层 定义 了 两 个 协议 : 传输 控制 协议 Transport 
Control Protocol，TCP); 用 户 数 据 报 协 议 (User Datagram Protocol，UDP)。 

TCP 协议 是 可 靠 的 、 面 向 连接 的 协议 。 它 用 于 包 交 换 的 计算 机 通信 网 络 、 互 连 系统 
及 类 似 的 网 络 上 ， 保 证 通信 主机 之 间 有 可 靠 的 字 节 流传 输 。UDP 协议 是 一 种 不 可 靠 的 、 
无 连接 协议 。 它 最 大 的 优点 是 协议 简单 ， 额 外 开销 小 ， 效 率 较 高 ， 缺 点 是 不 保证 正确 传 
输 ， 也 不 排除 重复 信息 的 发 生 。 

需要 可 靠 数据 传输 保证 的 应 用 应 选用 TCP 协议 ; 相反 , 对 数据 精确 度 要 求 不 是 太 高 ， 
而 对 速度 、 效 率 要 求 很 高 的 环境 ， 如 音频 和 视频 的 传输 ， 应 该 选用 UDP 协议 。 


4. 应 用 层 


应 用 层 (Application Layer) 是 TCP/IP 协议 簇 的 最 高 层 。 它 包含 了 所 有 OSI 参考 模 
型 中 会 话 层 、 表 示 层 和 应 用 层 这 些 高 层 协 议 的 功能 。 目 前 ， 互 联网 上 常用 的 应 用 层 协 议 
有 以 下 几 种 。 

(1) 简单 邮件 传输 协议 (SMTP): 负责 互联 网 中 电子 邮件 的 传递 。 

(2) 超 文 本 传输 协议 HTTP): 提供 Web 服务 。 

(3) 远程 登录 协议 TELNET): 实现 对 主机 的 远程 登录 功能 ， 常 用 的 电子 公告 牌 系 
统 BBS 使 用 的 就 是 这 个 协议 。 

(4) 文件 传输 协议 (FTP): 用 于 交互 式 文件 传输 ， 如 下 载 软件 使 用 的 就 是 这 个 协议 。 

(5) 网 络 新 闻 传输 协议 (NNTP): 为 用 户 提供 新 闻 订 阅 功能 ,每 个 用 户 既是 读者 又 是 
作者 。 

(6) 名 字 服 务 (DNS ): 实现 逻辑 地 址 (如 IP 地址 到 域名 地 址 的 转换 。 

(7) 简单 网 络 管理 协议 (SNMP): 对 网 络 设备 和 应 用 提供 相应 的 管理 。 

(8) 路 由 协议 (如 RIP/OSPF): 完成 网 络 设备 间 路 由 信息 的 交换 和 更 新 。 

其 中 : 网 络 用 户 经 常 直接 接触 的 协议 是 SMTP、HTTP、TELNET、FTP、NNTP。 另 
外 , 还 有 许多 协议 是 最 终 用 户 不 需 直 接 了 解 但 又 必 不 可 少 的 , 如 DNS、SNMP、RIP/OSPF 
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等 。 随 着 计算 机 网 络 技术 的 发 展 ,不 断 有 新 的 协议 添加 到 应 用 层 的 设计 中 来 。 
2.6.4 ”OSI 与 TCP/IP 参考 模型 的 比较 


OSI 参考 模型 和 TCP/IP 参考 模型 有 相同 的 地 方 ， 如 都 采用 了 层次 结构 的 概念 ， 但 
是 它们 的 差别 是 很 大 的 ， 不 论 在 层次 划分 还 是 协议 使 用 上 ， 都 有 明显 不 同 。 它 们 都 有 自 
己 的 优点 和 缺点 。 


1. 但 与 TCP/IP 参考 模型 的 对 照 关系 


如 图 2-9 所 示 ，OSI 参考 模型 与 TCP/IP 参考 模型 都 采用 了 层次 结构 , 但 OSI 采用 的 
是 七 层 模型 ， 而 TCP/IP 采用 的 是 四 层 结构 。 


OSI 参 考 模型 TCP/IP 参 考 模型 

应 用 层 

表示 层 应 用 层 
会 话 层 

传输 层 传输 层 

网 络 层 网 络 互 连 层 

数据 链 路 层 
pr 网 络 接 口 层 


2-9 OSI 与 TCP/IP 参考 模型 


如 前 所 述 , TCP/IP 参考 模型 的 网 络 接口 层 实际 上 并 没有 真正 的 定义 , 只 是 一 些 概念 
性 的 描述 。 而 OSI 参考 模型 不 仅 分 了 两 层 ， 而 且 每 一 层 的 功能 都 很 详尽 ， 甚 至 在 数据 链 
路 层 又 分 出 一 个 介质 访问 子 层 ,专门 解决 局 域 网 的 共享 介质 问题 。TCP/PP 的 网 络 互 连 层 
相当 于 OSI 参考 模型 网 络 层 中 的 无 连接 网 络 服务 。 

OSI 参考 模型 与 TCP/IP 参考 模型 的 传输 层 功能 基本 类 似 , 都 是 负责 为 用 户 提供 真正 
的 端 到 端 通信 服务 ， 也 对 高 层 屏 项 了 底层 网 络 的 实现 细节 。 所 不 同 的 是 TCP/IP 参考 模 
型 的 传输 层 是 建立 在 网 络 互 连 层 基础 之 上 的 ， 而 网 络 互 连 层 只 提供 无 连接 的 服务 ， 所 以 
面向 连接 的 功能 完全 在 TCP 协议 中 实现 ， 当 然 TCP/IP 的 传输 层 还 提供 无 连接 的 服务 ， 
如 UDR 相反 OSI 参考 模型 的 传输 层 是 建立 在 网 络 层 基 础 之 上 的 ， 网 络 层 既 提供 面向 连 
接 的 服务 ， 又 提供 无 连接 服务 ， 但 传输 层 只 提供 面向 连接 的 服务 。 

在 TCP/IP 参考 模型 中 ， 没 有 会 话 层 和 表示 层 ， 事 实证 明 ， 这 两 层 的 功能 可 以 完全 
包容 在 应 用 层 中 。 


2. OSI 与 TCP/IP 参考 模型 的 差异 


两 个 参考 模型 的 优 缺 点 。 
OSI 参考 模型 的 抽象 能 力 高 ， 适 合 于 描述 各 种 网 络 ， 它 采取 的 是 自 顶 向 下 的 设计 方 
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式 ， 先 定义 参考 模型 ， 然 后 再 逐步 定义 各 层 的 协议 ， 由 于 定义 模型 的 时 候 对 某 些 情况 预 
计 不 足 ， 造 成 了 协议 和 模型 脱节 的 情况 ;，TCP/IP 正好 相反 , 它 是 先 有 了 协议 之 后 ， 人 们 
为 了 对 它 进 行 研究 分 析 ， 才 制定 了 TCP/IP 参考 模型 。 当 然 这 个 模型 与 TCP/IP 的 各 个 协 
议 吻 合 得 很 好 。 但 它 不 适用 于 描述 其 他 非 TCP/IP 网 络 。 

OSI 参考 模型 的 概念 划分 清晰 ， 详 细 地 定义 了 服务 、 接 口 和 协议 的 关系 ， 优 点 是 概 
念 清晰 ， 普 遍 适 应 性 好 ; 缺点 是 过 于 繁杂 ， 实 现 起 来 很 困难 ， 效 率 低 。TCP/P 参考 模型 
在 服务 、 接 口 和 协议 的 区 别 上 不 清楚 ， 功 能 描述 和 实现 细节 混在 一 起 ， 因 此 它 对 采取 新 
技术 设计 网 络 的 指导 意义 不 大 ， 也 就 使 它 作为 模型 的 意义 逊色 很 多 。 

TCP/IP 参考 模型 的 网 络 接口 层 并 不 是 真正 的 一 层 , 在 数据 链 路 层 和 物理 层 的 划分 上 
基本 是 空白 ， 而 这 两 个 层次 的 划分 是 十 分 必要 的 ; OSI 参考 模型 的 缺点 是 层次 过 多 ， 事 
实证 明 会 话 层 和 表示 层 的 划分 意义 不 大 ， 反 而 增加 了 复杂 性 。 

总 之 ，OSI 参考 模型 虽然 一 直 被 人 们 所 看 好 , 但 由 于 没有 把 握 好 时 机 , 技术 不 成 熟 ， 
实现 起 来 很 困难 , 迟 迟 没有 一 个 成 熟 的 产品 推出 , 大 大 影响 了 它 的 发 展 。 相反, TCP/IP 参 
考 模型 虽然 有 许多 不 尽 人 意 的 地 方 , 但 近 30 年 的 实践 证 明 它 是 比较 成 功 的 , 特别 是 近年 
来 国际 互联 网 的 飞速 发 展 ， 也 使 它 获得 了 巨大 的 支持 。 


2.7 ”国际 网 络 信息 安全 有 关 标 准 的 研究 与 工程 应 用 


信息 安全 方面 的 国际 标准 在 网 络 信息 安全 工程 中 起 着 指导 作用 ， 为 网 络 信息 安全 工 
程 的 实施 指明 了 方向 。 


2.7.1 BS 7799-1: 1999 标准 的 主要 内 容 及 工程 应 用 


BS 7799 标准 系列 有 两 部 分 ， 其 中 第 一 部 分 BS 7799-1 已 被 ISO 采纳 为 国际 标准 ， 
标准 号 为 ISO / IEC 17799- 信 息 安全 管理 的 实施 准则 。 

(1) BS7799 标准 为 信息 系统 的 安全 标准 提供 基本 依据 和 有 效 的 安全 管理 实践 , 使 人 
们 有 足够 的 信心 去 处 理 组 织 内 部 事物 。 提 出 管理 系统 应 确立 一 个 明确 的 政策 方向 ， 并 且 
通过 在 组 织 中 应 用 和 采用 该 安全 政策 ， 这 样 才 可 以 有 效 地 支持 系统 信息 的 安全 性 。 

(2) 基本 术语 和 定义 。 

Q9 信息 安全 (information security): 保密 性 的 保持 (preservation of confidentiality )。 

@ 信息 的 完整 性 (integrity of information ): 信息 的 可 应 用 性 (availability of 
information )。 

@ 保密 性 : 是 指 确保 只 有 特定 权限 的 人 才能 够 访问 到 信息 。 完 整 是 指 要 保证 信息 
和 处 理 方法 的 正确 和 完整 。 可 应 用 性 是 指 确保 哪些 已 被 授权 的 用 户 在 他 们 需要 的 时 候 ， 
确实 可 以 访问 得 到 信息 以 及 相关 内 容 。 

@ 风险 评估 : 即 系统 信息 或 者 是 信息 处 理 系统 遭受 攻击 的 可 能 性 ， 对 于 这 些 威胁 
产生 的 可 能 性 及 其 后 果 的 评估 。 
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@@ 风险 管理 :， 即 付出 可 以 接受 的 代价 ， 从 而 识别 、 控 制 和 减少 影响 信息 系统 安全 
的 风险 的 过 程 。 

(3) 安全 组 织 的 目标 : 管理 组 织 内 部 的 信息 安全 。 

一 个 管理 框架 应 该 是 为 初始 化 并 控制 实现 组 织 内 部 的 信息 安全 而 建立 的 。 合 适 的 系 
统 的 管理 应 支持 信息 安全 政策 ， 指 定安 全 系统 中 的 各 类 角色 ， 并 协调 组 织 内 各 项 因素 ， 
以 实现 信息 安全 。 必 要 时 , 在 系统 内 应 具备 一 些 专用 的 信息 安全 知识 ， 供 组 织 内 部 使 用 。 
同时 ， 完 备 的 信息 安全 系统 应 时 时 与 组 织 外 部 的 安全 专家 联络 ， 跟 踪 最 新 动向 ， 监 测 标 
准 和 评估 方法 ， 并 在 处 理 安全 事件 时 ， 提 供 适 当 的 解决 办 法 。 在 信息 安全 系统 中 应 鼓励 
采用 多 重 接 入 的 方法 ， 例 如 ， 在 涉及 经 理 、 用 户 、 管 理 者 、 应 用 设计 者 、 审 计 人 员 和 安 
全 职员 之 间 的 协作 关系 时 ， 应 根据 不 同 的 需求 来 不 同 对 待 ， 或 者 在 保险 及 风险 管理 等 领 
域 ， 需 要 更 专门 的 技术 来 实现 。 

(4) 财产 划分 和 控制 。 

Q@ 财产 责任 的 目标 : 对 组 织 财产 进行 适当 的 保护 。 

要 对 所 有 主要 的 信息 财产 负责 ， 所 有 的 财产 都 应 有 名 义 上 的 所 有 者 。 财 产 责 任 有 助 
于 确保 财产 受到 适当 的 保护 。 所 有 的 财产 都 应 明确 归属 于 某 个 所 有 者 ， 并 划分 其 维护 责 
任 ， 对 其 进行 适当 的 控制 。 实 施 控制 的 责任 必须 委派 。 财 产 所 有 者 应 负 有 财产 责任 。 

@ 信息 划分 的 目标 : 确保 信息 财产 得 到 相应 等 级 的 保护 。 

信息 应 根据 需要 、 优 先 级 划分 为 相应 的 保护 等 级 。 信 息 具 有 不 同 的 敏感 性 和 危险 程 
度 。 某 些 项 目 需要 特别 的 保护 和 特殊 的 处 理 。 信 息 系 统 用 来 定义 一 系列 适当 的 保护 级 别 ， 
并 声明 哪些 地 方 需要 特别 的 保护 措施 。 

(5) 个 人 安全 。 

@ 工作 定义 和 资源 的 安全 性 的 目标 : 减低 人 为 错误 、 盗 窃 、 欺 骗 和 系统 的 小 用。 

在 招募 新 员工 时 ,应 提 及 安全 责任 ， 并 在 雇用 合同 中 注 明 ,并 在 服务 期 间 监督 实施 。 
应 对 即将 成 为 新 员工 的 成 员 进 行 观 察 ， 尤 其 在 涉及 一 些 敏感 的 工作 时 。 所 有 的 员工 及 信 
息 处 理 设 施 的 第 三 方 的 用 户 应 签署 保密 〈 不 泄露 ) 协议 。 

@ 用 户 培 训 的 目标 : 确保 用 户 关注 信息 安全 威胁 ， 并 在 实际 的 工作 中 支持 组 织 的 
安全 政策 。 

应 对 用 户 培训 关于 安全 处 理 程序 的 内 容 ， 和 信息 处 理 设备 的 正确 用 法 ， 以 减少 安全 
风险 。 

@ 对 安全 事件 和 故障 的 反应 的 目标 : 减少 安全 事件 和 故障 对 系统 造成 的 损害 ， 并 
从 中 吸取 教训 。 

影响 安全 的 事件 应 通过 正常 的 管理 渠道 尽快 汇报 。 所 有 的 员工 和 合同 人 员 都 应 知晓 
不 同类 型 事件 (系统 泄露 、 威 胁 、 弱 点 或 故障 〉 的 报告 程序 ， 这 些 事 件 会 对 安全 和 组 织 
财产 产生 一 定 的 影响 。 他 们 应 该 对 观察 到 的 疑点 尽快 向 指定 的 联络 点 进行 汇报 。 组 织 应 
建立 正式 严格 的 纪律 来 处 理 那些 造成 安全 泄露 的 人 。 为 正确 地 审查 整个 事件 ， 在 事件 发 
生 后 尽快 地 收集 证 据 是 必要 的 。 

(6) 物理 及 环境 安全 。 

Q@ 安全 区 域 的 目标 : 防止 未 经 授权 的 访问 ， 破 坏 及 对 扰乱 商务 约定 和 信息 的 行为 。 
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重要 的 或 敏感 的 商务 信息 处 理 系统 应 当局 限 在 安全 区 域 以 内 ， 有 一 定 的 边界 保护 ， 
并 设置 适当 的 安全 屏障 和 出 入 控制 。 在 物理 环境 上 远离 未 授权 访问 ， 破 坏 及 和 干扰。 这 些 
保护 的 级 别 与 其 可 能 遭受 的 风险 是 相称 的 。 应 制定 明确 的 隔离 政策 以 确保 降低 对 论文 ， 
媒质 和 信息 处 理 系 统 的 未 授权 访问 或 破坏 所 造成 的 风险 。 

@ 设备 安全 的 目标 : 防止 财产 的 丢失 、 损 害 和 危险 ， 和 对 商务 活动 的 中 断 。 

应 对 设备 进行 物理 保护 ， 以 防 安全 威胁 和 环境 灾难 。 为 降低 未 授权 访问 的 风险 ， 和 
防止 数据 的 丢失 和 破坏 ， 对 设备 的 保护 〈 包 括 那 些 备用 的 设备 ) 是 很 必要 的 。 还 应 考虑 
设备 的 放置 和 安排 。 为 防止 未 授权 访问 和 灾难 ， 应 考虑 一 些 特别 的 控制 方式 ， 以 保护 支 
持 系统 ， 如 电源 供应 和 电缆 基础 设施 。 

@ 通用 控制 的 目标 : 防止 对 信息 和 信息 处 理 设备 的 损害 和 偷窃 。 

应 对 信息 和 信息 处 理 设备 加 以 保护 ， 以 防 被 未 经 授权 的 人 泄露 ， 改 写 或 盗窃 ， 并 采 
取 措 施 以 降低 损失 。 

(7) 通信 和 操作 管理 。 

Q@ 操作 规程 和 责任 的 目标 : 确保 正确 和 安全 地 操作 信息 处 理 设备 。 

应 当 建立 对 所 有 信息 处 理 设备 的 管理 与 操作 的 责任 和 程序 。 这 包括 适当 的 操作 指南 
和 事故 处 理 程 序 的 开发 。 应 实施 责任 的 划分 ， 适 当 的 时 候 ， 应 降低 朴 忽 或 故意 的 系统 误 
操作 带 来 的 风险 。 

@ 系统 计划 和 验收 的 目标 : 降低 系统 失效 带 来 的 风险 。 为 确保 获得 充足 的 容量 和 
资源 ， 应 提前 进行 计划 和 准备 。 

应 进行 未 来 容量 需求 的 计划 ， 减 少 系统 过 载 的 风险 。 应 建立 新 系统 的 运行 需求 ， 在 
验收 和 使 用 以 前 进行 记录 和 测试 。 

@ 对 恶意 攻击 软件 的 防护 的 目标 : 保护 软件 和 信息 的 完整 性 。 

应 加 强 预防 ， 以 防止 和 检测 恶意 攻击 软件 的 引入 。 软 件 和 信息 处 理 设备 对 易 受 到 恶 
意 软件 的 攻击 ， 如 计算 机 病毒 、 网 络 蠕 虫 、 特 洛 伊 木马 和 逻辑 炸弹 。 应 警告 用 户 未 经 授 
权 和 恶意 软件 的 危险 ， 适 当 的 情况 下 ， 管 理 者 应 引入 特殊 的 控制 以 检测 和 防止 其 进入 系 
统 。 特 别 重要 的 是 实施 预防 措施 ， 防 止 和 检测 在 个 人 电脑 的 计算 机 病毒 。 

@ 日 常 管理 的 目标 : 保持 信息 处 理 和 通信 业务 的 完整 性 和 可 用 性 。 

应 建立 日 常 程序 ， 以 实施 有 效 的 备份 策略 ， 备 份 数据 、 事 件 和 故障 的 日 志 ， 并 试 着 
重 装 一 下 确保 备份 正确 ， 适 当 的 时 候 ， 监 视 系统 设备 环境 。 

@ 网 络 管理 的 目标 : 确保 对 网 络 内 的 信息 和 支撑 基础 设施 进行 有 效 的 保护 。 

需要 注意 可 能 跨越 组 织 界限 方面 的 安全 管理 。 对 在 公共 网 络 上 进行 传送 的 敏感 信 
息 ， 要 考虑 进行 特别 的 控制 。 

@ 媒质 处 理 和 安全 的 目标 : 防止 对 资产 的 破坏 和 对 商业 活动 的 中 断 。 存 储 媒质 应 
加 以 控制 ， 并 进行 物理 上 的 保护 。 

应 建立 适当 的 维护 程序 来 保护 文档 、 计 算 机 媒质 《磁带 、 磁 盘 及 卡带 等 )、 输 入 / 输 
出 数据 系统 文件 免 受 破坏 ， 盗 穿 和 未 授权 访问 。 

@ 信息 和 软件 的 交换 的 目标 : 防止 在 组 织 间 交 换 的 信息 丢失 ， 被 自 改 或 滥用 。 

组 织 间 的 信息 交换 应 予以 控制 ， 并 符合 相关 立法 的 要 求 。 交 换 应 依据 合同 进行 。 应 
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建立 用 于 保护 交换 中 的 信息 和 媒质 的 程序 和 标准 。 与 电子 数据 交换 、 电 子 商务 、 电 子 邮 
件 相关 的 商业 和 安全 影响 应 加 以 考虑 ， 并 加 以 适当 的 控制 。 

(8) 访问 控制 。 

@ 访问 控制 的 商业 需求 的 目标 : 控制 对 信息 的 访问 。 

应 在 商业 和 安全 需求 的 基础 上 ， 实 施 对 信息 访问 和 商业 处 理 活动 的 控制 。 应 考虑 信 
息 发 行 和 授权 的 政策 。 

@ 用 户 访问 管理 的 目标 : 防止 对 信息 系统 的 未 授权 访问 。 

应 建立 正式 的 程序 来 控制 访问 信息 系统 和 业务 的 权利 的 分 配 。 该 程序 应 覆盖 用 户 访 
问 期 间 的 各 个 阶段 ， 从 新 用 户 的 注册 到 用 户 销 户 ， 即 用 户 无 须 访问 信息 系统 和 业务 的 时 
候 。 应 特别 注意 控制 那些 能 够 实施 系统 控制 的 访问 特权 的 分 配 。 

@ 用 户 责任 的 目标 : 防止 未 授权 用 户 访问 。 

授权 用 户 的 协作 对 有 效 的 安全 是 十 分 重要 的 。 用 户 应 知道 他 们 维护 有 效 访问 控制 的 
责任 ， 尤 其 是 口令 的 使 用 和 用 户 设备 的 安全 性 。 

@ 网 络 访问 控制 的 目标 : 对 网 络 服务 进行 保护 。 

应 对 内 部 和 外 部 的 网 络 服务 的 访问 进行 控制 。 必 须 确保 能 够 访问 网 络 和 网 络 服务 的 
用 户 ， 不 会 对 网 络 的 安全 进行 破坏 ， 应 注意 以 下 内 容 。 

a. 组 织 网 络 和 其 他 组 织 的 网 络 ， 或 公共 网 络 之 间 有 适当 的 接口 。 

b. 应 有 对 用 户 和 设备 进行 身份 确认 的 机 制 。 

c. 控制 用 户 对 信息 服务 的 访问 。 

@ 操作 系统 访问 控制 的 目标 : 防止 未 授权 的 计算 机 访问 。 

应 对 操作 系统 加 以 安全 保护 ， 以 限制 对 计算 机 资源 的 访问 。 这 些 措施 应 包含 如 下 
内 容 。 

a. 鉴别 和 验证 身份 ， 必 要 时 对 每 个 授权 用 户 的 方位 和 终端 进行 鉴别 。 

b. 记录 成 功 和 失败 的 系统 访问 。 

c. 提供 身份 确认 的 适当 手段 ， 如 果 采 用 了 口令 管理 系统 ， 应 确保 使 用 有 质量 的 
口令 。 

d. 适当 的 时 候 ， 限 制 用 户 的 连接 时 间 。 

e. 具有 一 定 商业 风险 的 情况 下 ， 可 采用 其 他 访问 控制 手段 ， 如 对 话 / 应 答 系统 
(challenge-response )。 

@ 应 用 访问 控制 的 目标 : 防止 对 信息 系统 的 信息 进行 未 授权 访问 。 

应 采用 安全 设备 来 严格 控制 应 用 系统 内 的 访问 。 对 软件 和 信息 的 逻辑 访问 应 被 限制 
在 授权 用 户 的 范围 内 。 

a. 按照 确定 的 商业 访问 控制 政策 ， 控 制 用 户 对 信息 和 应 用 系统 功能 的 访问 。 

b. 提供 对 能 够 改写 系统 和 应 用 控制 的 工具 和 操作 系统 软件 的 保护 ， 以 防止 未 授权 
访问 。 

c. 不 会 破坏 与 其 他 信息 系统 共享 的 信息 系统 安全 。 

d. 可 以 为 拥有 者 ， 授 权 的 个 人 或 特殊 的 用 户 组 ， 提 供 对 信息 系统 的 访问 。 

@ 监视 系统 访问 和 使 用 的 目标 : 用 来 发 现 未 授权 活动 。 
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应 对 系统 进行 监视 ， 以 发 现 违 反 访问 控制 政策 的 活动 ， 并 记录 可 监视 的 事件 ， 在 发 
生 安 全 事件 时 ， 提 供 证 据 。 系 统 监视 允许 用 来 检查 的 控制 活动 的 效力 ， 和 用 来 验证 访问 
控制 模型 的 一 致 性 。 

@ 移动 计算 和 远程 工作 的 目标 : 当 使 用 移动 计算 和 远程 工作 设备 时 ， 确 保 信息 
安全 。 
这 些 保护 应 与 这 些 特定 工作 方式 造成 的 风险 相 匹 配 。 当 使 用 移动 计算 时 ， 应 考虑 在 
无 保护 的 环境 下 进行 工作 的 风险 ， 并 进行 适当 的 保护 。 在 远程 工作 的 情况 下 ， 组 织 应 对 
远程 工作 的 地 点 进行 保护 ， 并 确保 这 种 工作 方式 的 适当 安排 。 

(9) 系统 开发 与 维护 。 

@ 系统 的 安全 需求 的 目标 : 确保 在 信息 系统 中 实现 了 安全 防护 。 

该 项 内 容 包 括 基 础 设施 ， 商 业 应 用 和 用 户 开 发 的 应 用 。 支 持 这 些 应 用 和 服务 的 商业 
程序 的 设计 和 实现 ， 对 于 系统 的 安全 性 是 至 关 重 要 的 。 应 在 信息 系统 的 开发 之 前 ， 就 明 
确 系统 的 安全 需求 并 达成 一 致 。 

所 有 的 安全 需求 , 包括 一 些 后 备 的 安全 需求 , 应 在 工程 的 需求 设计 阶段 提出 和 确定 ， 
达成 一 致 ， 并 作为 信息 系统 的 商业 文档 的 一 部 分 加 以 记录 。 

@ 应 用 系统 中 的 安全 的 目标 : 为 防止 应 用 系统 中 数据 的 丢失 、 算 改 和 滥用 。 

在 应 用 系统 的 设计 中 ， 应 考虑 适当 的 控制 和 审查 记录 或 活动 日 志 ， 包 括 用 户 手 写 的 
应 用 。 这 些 内 容 应 包括 ， 输 入 数据 、 内 部 处 理 和 输出 数据 的 正确 性 。 

对 于 处 理 或 与 敏感 、 有 价值 或 重要 的 组 织 财产 相关 的 系统 需要 附加 的 控制 。 这 种 控 
制 应 基于 安全 需求 和 风险 评估 来 决定 。 

@ 密码 控制 的 目标 : 保护 信息 的 保密 性 、 真 实 性 和 完整 性 。 

在 其 他 的 控制 手段 不 能 提供 充分 的 保护 时 ， 可 以 采用 密码 系统 和 技术 来 保护 信息 。 

@ 系统 安全 的 催促 的 目标 :为 了 保证 IT 项 目 和 支持 活动 以 一 种 安全 的 方式 被 实施 。 

对 系统 文件 的 访问 应 该 被 控制 。 应 用 系统 或 者 软件 的 所 有 者 -用 户 组 ,研发 人 员 ， 应 
对 保持 系统 完整 性 负责 。 

@@ 研发 和 支持 过 程 的 安全 问题 的 目的 : 为 了 保持 应 用 系统 软件 和 信息 的 安全 。 

应 被 严格 地 控制 。 应 用 系统 的 管理 人 员 也 应 该 对 工程 及 其 环境 的 安全 性 负责 ， 他 们 
必须 确认 系统 及 其 环境 无 安全 性 问题 。 

(10) BS 7799-1: 1999 标准 在 信息 安全 示范 工程 中 应 用 。 

对 于 信息 安全 管理 的 实践 BS 7799-1: 1999 提出 的 十 大 项 内 容 ， 以 及 一 百 二 十 多 条 
具体 的 实施 细则 , 本 次 示范 工程 中 , 管理 体系 和 技术 体系 的 开发 与 运行 参考 了 BS 7799-1 
中 定义 的 信息 安全 管理 实施 细则 ， 和 覆盖 或 部 分 覆盖 了 以 下 控制 类 。 

@ 信息 安全 方针 一 一 为 信息 安全 提供 管理 方向 和 保障 。 

@ 组 织 安全 一 一 建立 组 织 内 的 管理 体系 以 便 安全 管理 。 

@ 资产 分 类 和 控制 一 一 维护 组 织 资产 的 适当 保护 系统 。 

@ 人 员 安 全 一 减少 人 为 造成 的 风险 。 

@@ 实物 和 环境 安全 一 一 防止 对 IT 服务 的 非法 介入 ， 损 伤 和 干扰 服务 。 

@ 通信 和 操作 管理 一 保证 通信 和 操作 设备 的 正确 和 安全 维护 。 
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@ 访问 控制 一 一 控制 对 业务 信息 的 访问 。 

系统 开发 和 维护 一 一 在 安全 系统 框架 下 进行 系统 开发 和 维护 。 

@ 业务 持续 性 管理 一 一 防止 商业 活动 中 断 及 保护 关键 商业 过 程 不 受 重大 失误 或 灾 
难事 故 的 影响 。 

法 律 的 遵从 一 一 避免 违反 法 令 、 法 规 、 合 同 约定 及 其 他 安全 要 求 的 行为 。 


2.7.2 BS 7799-2: 1999 标准 的 主要 内 容 及 工程 应 用 


BS 7799-2: 1999 制定 了 对 信息 安全 管理 系统 (ISMS) 进行 建立 、 执 行 和 文档 化 的 
规则 和 要 求 ， 并 且 规 定 了 如 何 根 据 独立 个 体 的 需求 执行 安全 管理 ， 为 第 一 部 分 中 提出 的 
实施 细则 的 实现 指明 途径 。 


1， 信 息 管理 系统 需求 


组 织 将 建立 并 且 保 持 ISMS 文档 。 重 点 在 于 受 保护 的 对 象 ， 风险 管理 ， 控 制 对 象 ， 
控制 和 信用 度 。 

(1) 建立 管理 框架 

以 下 步 又 用 于 对 控制 对 象 和 控制 进行 识别 和 管理 。 

Q@ 定义 信息 安全 政策 。 

@ 信息 安全 管理 系统 的 范围 将 被 定义 ， 将 利用 组 织 、 位 置 、 资 产 、 技 术 等 方面 的 
技术 对 其 界限 进行 定义 。 

@ 适当 的 风险 评估 将 被 采取 。 风 险 评估 将 通过 识别 对 资产 的 威胁 、 对 组 织 的 弱点 
和 影响 来 确定 风险 的 程度 。 

@ 将 要 管理 的 风险 区 域 将 被 识别 基于 组 织 的 信息 安全 政策 和 所 需 的 确信 程度 。 

@@ 组 织 将 选择 适当 的 控制 目标 和 控制 ， 并 证 明 选 择 正确 。 

@ 适用 性 声明 将 被 准备 。 被 选用 的 控制 对 象 和 控制 ， 以 及 选用 的 理由 将 以 文档 形 
式 保存 在 适用 性 声明 中 。 

(2) 执行 

组 织 将 有 效 执行 被 选用 的 控制 对 象 和 控制 。 检 测 者 将 对 其 执行 效率 进行 检查 。 

(3) 文件 

ISMS 文件 包括 下 列 的 信息 。 

@ 所 采取 的 行动 按 规定 执行 。 

@ 管理 框架 的 总 结 ， 包 括 信息 安全 政策 和 控制 目标 ， 并 执行 适用 性 声明 中 提出 的 
控制 。 

@ 控制 执行 流程 。 这 些 将 描述 责任 和 有 关 的 行动 。 

@ 覆盖 ISMS 的 管理 和 操作 的 流程 。 其 描述 了 描述 责任 和 有 关 的 行动 。 

(4) 文件 控制 

组 织 将 为 控制 所 有 需要 的 文件 建立 并 且 维 护 流程 。 保 证 文件 如 下 所 示 。 

@ 容易 使 用 。 
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@ 周期 性 地 回顾 和 修订 必 与 组 织 的 安全 政策 一 致 。 

@ 保持 版 本 控制 ， 所 有 使 用 ISMS 的 地 方 ， 都 需 对 文档 进行 版 本 控制 。 

@ 当 丢 弃 不 用 的 时 候 ， 及 时 收回 。 

@ 识别 和 保存 一 过 时 的 文档 ， 以 作为 法 律 或 保留 之 用 。 

@ 在 一 段 时 期 之 内 ， 文 件 应 是 易 懂 ， 注 明日 期 (并 注 明 更 改 日 期 和 容易 辨认 的 ， 
用 一 种 有 序 方式 保存 。 

@ 建立 和 保留 不 同类 型 文档 的 流程 和 责任 。 

(5) 记录 

@ 记录 是 ISMS 操作 的 证 明 , 将 被 保持 作 系 统 和 组 织 按照 BS7799 进行 操作 的 证 明 ， 
e.g. 访 问 者 登记 ， 检 查 记录 和 批准 进入 。 

@ 组 织 将 建立 并 且 维护 用 于 识别 ， 维 护 ， 保 持 和 部 署 记录 的 进程 。 

@ 有 关 活动 的 记录 应 是 易 懂 ， 可 辨认 和 可 追踪 的 。 记 录 将 被 存储 和 保持 在 这 样 一 
种 方法 中 他 们 容易 恢复 和 保护 以 免 受到 破坏 ， 亚 化 或 者 损失 。 


2. 细节 控制 


(1) 信息 安全 政策 的 目标 : 提供 管理 方向 并 支持 信息 安全 。 

信息 安全 政策 文件 经 由 管理 部 门 确认 , 在 确保 其 正确 性 的 前 提 下 , 传达 给 所 有 部 门 。 
定时 对 政策 进行 检查 ， 在 条 件 有 变 的 情况 下 ， 保 持 其 正确 性 。 

(2) 信息 安全 基础 的 目标 : 在 机 构 内 进行 信息 安全 管理 。 

Q@ 信息 管理 安全 论坛 是 为 了 给 信息 安全 管理 制定 方向 ， 并 提供 可 见 的 管理 支持 。 
根据 机 构 的 大 小 ， 由 各 相关 部 分 代表 组 成 的 具有 交互 功能 的 管理 论坛 将 负责 协调 信息 安 
全 各 部 分 的 执行 。 

@ 分 配 信息 安全 管理 责任 是 对 保护 个 人 资产 和 实行 特定 安全 管理 的 责任 下 定义 。 

@ 信息 处 理 设施 的 批准 过 程 是 对 新 的 信息 处 理 设施 建立 权威 管理 。 

@ 专业 信息 安全 意见 是 由 专家 顾问 或 单位 内 部 提供 的 信息 安全 建议 应 被 通知 给 单 
位 中 每 个 人 。 

@ 组 织 之 间 的 合作 是 保持 于 法 律 权威 ， 管 理 单位 ， 信 息 服 务 供应 者 和 电讯 运营 商 
之 间 的 联系 。 

@ 信息 安全 的 独立 检查 是 信息 安全 政策 的 执行 情况 将 独立 地 被 检查 。 

(3) 第 三 方 接 入 安全 政策 的 目标 : 为 了 保持 被 第 三 方 访问 的 组 织 的 信息 处 理 设施 和 
信息 资产 的 安全 。 

Q Utird 方 接 入 风险 识别 是 由 第 三 方 接 入 组 织 时 ， 给 信息 处 理 设施 带 来 的 风险 将 由 
适当 的 信息 控制 进行 管理 。 

@ 第 三 方 合同 的 安全 要 求 是 第 三 方 对 组 织 内 信息 管理 系统 的 访问 应 在 正式 的 合同 
中 予以 注 明 ， 以 满足 安全 性 需求 。 

@ 外 购 合同 的 安全 要 求 是 外 购 企业 控制 和 管理 全 部 或 一 部 分 信息 系统 ， 网 络 台式 
机 ， 这 些 都 应 在 供应 方 和 购买 方 的 合同 上 注 明 。 

(4) 责任 或 者 资产 的 目标 : 对 组 织 的 资产 进行 适当 保护 。 
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资产 目录 是 建立 并 维护 重要 的 资产 的 有 关 目 录 。 

(5) 信息 分 类 的 目标 : 为 了 保证 信息 资产 收 到 适当 的 程度 的 保护 。 

Q@ 分 类 方针 是 分 类 政策 和 信息 相关 的 保护 控制 应 满足 商业 上 对 信息 共享 和 保密 的 
需要 以 及 相关 后 果 。 

@ 信息 标识 和 处 理 是 根据 组 织 采 用 的 分 类 政策 ， 将 针对 信息 标识 和 处 理 建立 一 整 

@ 员工 安全 政策 

(6) 工作 中 的 安全 要 求 的 目标 : 为 了 减少 人 类 差错 ,偷窃 行 为， 欺骗 或 者 误 用 设施 
的 风险 。 

Q@ 工作 责任 中 的 安全 管理 是 组 织 信息 安全 政策 中 所 规定 的 各 种 角色 和 责任 应 与 工 
作 分 工 联系 在 一 起 。 

@ 员工 筛选 政策 是 当 雇员 申请 某 项 工作 时 ， 应 确保 其 能 达到 此 工作 的 安全 性 要 求 。 

@ 保密 协议 是 雇员 被 录用 时 ， 应 签署 保密 协议 。 

@ 雇佣 条 件 是 雇佣 合同 中 应 注 明 员工 在 信息 安全 方面 所 承担 的 责任 。 

(7) 用 户 培训 的 目标 : 确保 用 户 对 保证 信息 安全 的 重要 性 有 足够 认识 。 在 日 常 工作 
中 ， 具 有 足够 的 知识 以 确保 组 织 安全 政策 的 实施 。 

信息 安全 教育 及 培训 是 组 织 机 构 内 的 所 有 雇员 和 相关 的 第 三 方 用 户 ， 必 须 接受 正确 
的 培训 ， 并 根据 组 织 政 策 和 进程 的 改变 ， 随 时 更 新 自己 的 知识 。 

(8) 对 安全 事件 和 故障 作出 反应 的 目标 : 最 大 限度 地 减少 安全 事件 和 事故 带 来 的 损 
失 ， 并 且 对 此 种 事件 进行 监控 ， 避 免 其 发 生 。 

@ 报告 安全 事件 是 一 旦 发 现 安全 隐患 ， 将 及 时 通过 适当 的 管理 通道 进行 报告 。 

@ 报告 安全 管理 的 弱点 是 用 户 应 随时 注意 ， 并 及 时 报告 任何 可 疑 的 安全 弱点 或 者 
威胁 。 

@ 报告 软件 故障 是 建立 并 遵循 报告 软件 故障 的 进程 。 

@ 是 从 事故 中 获得 经 验 并 建立 适当 的 机 制 使 事件 和 故障 的 类 型 ， 卷 和 费用 能 够 量 
化 并 得 到 监控 。 

@ 违规 处 理 是 雇员 对 组 织 的 安全 政策 和 过 程 的 违反 行为 将 通过 正式 的 违规 进程 进 
行 处 理 。 

(9) 物理 上 和 环境 上 的 安全 的 目标 : 为 了 防止 未 经 许可 的 接 入 破坏 保存 处 理 措施 的 


区 域 。 
物理 安全 周边 是 组 织 将 使 用 安全 周边 保护 包含 信息 处 理 设 施 的 区 域 。 
@ 物理 的 进入 控制 是 通过 适当 的 输入 保护 控制 来 确保 安全 区 域 仅 仅 接受 授权 人 员 
的 接 入 。 

@ 办 公 室 安全 政策 是 根据 保安 要 求 ， 设 立 安全 区 域 以 确保 办 公 室 、 房 间 和 设施 的 
可 靠 性 。 

@ 在 安全 的 区 域 上 工作 是 安全 区 域 中 附加 的 工作 安全 控制 和 方针 提高 物理 方式 对 
安全 区 的 保护 。 
@ 隔离 运送 和 装载 区 域 是 运送 和 装载 区 域 应 处 在 严密 控制 之 下 ; 同时 ， 如 果 可 能 ， 
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与 信息 处 理 设施 隔绝 ， 避 免 示 经 许可 的 接近 。 

(10) 设备 安全 的 目标 : 为 了 防止 资产 的 流失 、 损 坏 而 中 断 商 业 活动 。 

Q@ 设备 安装 和 保护 是 设备 应 被 妥善 安装 和 保护 以 减少 环境 的 威胁 和 和 危险， 以 及 未 
经 许可 的 接近 的 机 会 。 

@ 电源 : 保护 设备 以 免 掉 电 和 其 他 异常 。 

@ 电缆 安全 : 保护 供电 及 通信 电线 免 遭 干扰 和 破坏 。 

图 设备 维护 :依据 制造 厂 的 指令 和 /或 相关 进程 文档 ， 确 保 设备 的 继续 使 用 和 完 
整 性 。 

@ 户外 设备 安全 政策 ， 遵 守 安全 流程 和 控制 政策 保护 外 部 设备 。 

@ 设备 废弃 及 再 使 用 安全 政策 :在 设备 废弃 和 再 使 用 之 前 ， 须 擦 除 其 所 含 信息 。 

(11) 一 般 控制 的 目标 : 为 了 防止 未 经 许可 的 接 入 破坏 ， 保 存 处 理 措施 的 区 域 。 

Q@ 保持 办 公 环 境 整洁 : 组 织 应 要 求 雇员 保持 办 公 环 境 整洁 以 减少 未 经 许可 接 入 的 
风险 ， 并 防止 损失 破坏 信息 。 

@ 财产 丢失 : 设备 和 属于 组 织 的 信息 或 者 软件 不 允许 被 擅自 移 去 。 

(12) 操作 流程 和 责任 的 目标 : 为 了 确认 信息 处 理 设施 的 正确 性 和 操作 的 安全 性 。 

Q@ 文件 操作 流程 : 根据 定义 的 安全 政策 所 制定 的 操作 流程 应 存档 ， 并 得 到 维护 。 

@ 操作 的 变化 控制 : 对 信息 处 理 设施 和 系统 进行 的 修改 应 处 在 控制 之 下 。 

@ 事故 管理 流程 : 应 建立 事故 管理 责任 和 处 理 流 程 以 确保 能 迅速 ， 有 效 和 有 秩序 
地 对 安全 事故 作出 反应 。 

@ 职责 的 分 离 : 所 负责 的 区 域 和 承担 的 责任 之 间 应 有 明确 的 权限 划分 ， 以 减少 未 
授权 修正 或 者 误 用 信息 、 服 务 所 引起 的 危险 。 

加 分 隔 开发 和 操作 : 开发 和 测试 设施 将 在 操作 上 了 予以 分 隔 。 

@ 外 部 设施 管理 : 在 使 用 外 部 设施 之 前 ， 应 与 合同 单位 对 于 风险 承担 达成 一 致 ， 
并 保存 在 合同 中 。 

(13) 系统 计划 和 接受 的 目标 : 最 大 限度 地 减少 系统 失败 。 

Q@ 容量 和 计划 : 监控 容量 要 求 是 否 得 到 满足 ， 以 确保 满足 项 目 未 来 会 出 现 的 扩容 
需求 ， 如 供电 量 和 存储 能 力 。 

@ 系统 接受 ， 指 对 新 的 信息 系统 的 接受 标准 ， 在 系统 升级 或 采用 新 版 本 之 前 ， 应 
进行 适当 的 系统 测试 。 

(14) 避免 受到 恶意 的 软件 的 侵害 的 目标 : 保护 软件 和 信息 的 完整 性 。 

对 于 恶意 的 软件 的 控制 : 进行 检查 和 预防 控制 保护 以 免 受到 恶意 的 软件 的 侵袭 ， 执 
行 适 当 的 用 户 警 告 流程 。 

(15) 持家 的 目标 : 为 了 保持 信息 处 理 和 通信 服务 的 完整 性 和 实用 性 。 

@ 信息 备份 : 周期 性 对 重要 的 商业 信息 和 软件 进行 备份 。 

@ 操作 人 员 日 志 : 应 将 操作 人 员 每 天 的 活动 记 入 日 志 。 

@ 故障 记录 : 故障 将 被 报告 ， 并 及 时 得 到 矫正 。 

(16) 网 络 管理 的 目标 : 确认 网 络 信息 安全 ， 以 及 对 网 络 结构 的 维护 。 

网 络 控制 : 为 确保 网 络 安全 ， 应 执行 一 定量 的 控制 。 
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(17) 媒介 处 理 和 安全 的 目标 : 为 了 防止 破坏 资产 和 中 断 商 业 活动 。 

Q@ 可 拆 印 的 计算 机 媒介 的 管理 :可 拆卸 的 计算 机 媒介 的 管理 ， 诸 如 磁带 、 盘 、 盒 
式 磁带 和 打印 报告 将 被 控制 。 

@ 媒介 的 配置 媒介 被 废弃 前 ， 清 空 所 存 信息 。 

@ 信息 处 理 流程 : 建立 信息 的 存储 和 处 理 流 程 ， 使 之 免 受 未 经 许可 的 泄露 或 者 
误 用 。 

@ 系统 文档 的 安全 : 保护 系统 文档 不 受 非法 访问 。 

(18) 信息 和 软件 的 交换 的 目标 : 为 了 防止 信息 在 组 织 间 交 流 时 发 生 丢失 ， 修 改 或 
者 误 用 。 

Q@ 信息 和 软件 交换 协议 : 组 织 之 间 电 子 或 者 手工 交换 信息 和 软件 应 遵守 一 定 的 规 
则 ， 其 中 的 一 些 是 正式 协议 。 

@ 运输 中 的 媒介 安全 : 搬运 过 程 中 ， 应 保护 媒介 不 受到 未 授权 接 入 ， 误 用 或 破坏 。 

@ 电子 商业 安全 : 保护 电子 商业 受到 欺骗 性 的 活动 ， 合 同 争论 揭露 或 者 修正 信息 
的 危害 。 

@ 电子 邮件 的 安全 : 制定 针对 电子 邮件 的 安全 政策 ， 减 少 电子 邮件 带 来 的 不 安全 
影响 。 

@ 电子 办 公 系 统 的 安全 : 针对 电子 办 公 系 统 ， 制 定 一 定 的 政策 和 方针 ， 减 少 商业 
安全 风险 。 

@ 公共 可 用 系统 : 在 将 信息 对 公众 开放 之 前 ， 须 建立 一 套 正式 权威 的 处 理 流程 ， 
以 保证 信息 完整 性 ， 不 被 非法 修改 。 

@ 通过 使 用 声音 ， 传 真 和 视频 通信 设施 交换 信息 时 ， 应 建立 相应 流程 和 控制 体系 ， 
以 确保 其 安全 。 

(19) 接 入 控制 的 商业 要 求 的 目标 : 为 了 控制 信息 的 接 入 。 

接 入 控制 政策 :定义 接 入 控制 的 商业 要 求 ， 并 存档 。 在 接 入 控制 政策 中 ， 规 定 如 何 
限制 接 入 动作 。 

(20) 用 户 接 入 管理 的 目标 : 为 了 防止 未 经 许可 用 户 接 入 信息 系统 。 

@ 用 户 登 记 : 对 于 多 用 户 信息 系统 和 服务 ， 为 授权 接 入 定义 规范 的 用 户 登 记 流程 。 

@ 特权 管理 : 特权 的 分 配 和 使 用 将 被 限制 和 控制 。 

@ 用 户口 令 管理 : 口令 的 分 配 将 通过 正式 的 管理 流程 被 控制 。 

@ 用 户 访问 权力 的 检查 : 定期 检查 用 户 的 访问 权限 。 

(21) 用 户 责任 的 目标 :避免 非法 用 户 接 入 。 

Q 口令 使 用 : 用户 被 要 求 在 选择 和 使 用 口令 时 遵循 安全 守则 。 

@ 系统 不 能 进行 安全 控制 的 用 户 设备 : 用户 应 自己 对 系统 不 能 进行 安全 控制 的 设 
备 提供 适当 的 保护 。 

(22) 网 络 接 入 控制 的 目标 : 保护 网 络 服务 。 

Q@ 网 络 服务 使 用 政策 : 用 户 只 能 使 用 被 允许 使 用 的 服务 。 

@ 接 入 途径 控制 : 控制 从 用 户 终端 连接 到 计算 机 服务 器 的 途径 。 

@ 外 部 用 户 接 入 授权 : 经 过 授权 ， 远 端 用 户 才能 接 入 系统 。 
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@ 节点 鉴别 : 鉴定 远程 接 入 的 计算 机 系统 。 

@ 远程 的 诊断 节点 保护 : 诊断 节点 的 接 入 将 受 安全 控制 。 

@ 网 络 划分 : 网 络 中 不 同 的 信息 服务 ， 用 户 和 信息 系统 被 分 隔 开 。 

@ 网 络 连 接 控制 : 依据 指定 的 控制 政策 ， 限 制 公用 网 络 中 接 入 用 户 的 连接 能 力 。 

网 络 路 由 控制 : 共享 网 络 应 建立 路 由 控制 以 保证 计算 机 关系 和 信息 流 不 违反 指 
定 的 商业 应 用 的 接 入 控制 政策 。 

@ 网 络 服务 的 安全 : 提供 被 组 织 使 用 的 所 有 网 络 服务 的 安全 属性 的 清楚 的 定义 。 

(23) 操作 系统 访问 控制 的 目标 : 为 了 防止 未 授权 的 计算 机 接 入 系统 。 

@ 自动 终端 识别 : 自动 终端 识别 将 把 关系 用 于 鉴定 特定 的 位 置 和 便携 式 设备 的 
接 入 。 

@ 终端 报告 流程 : 接 入 信息 服务 按 使 用 安全 访问 流程 。 

@ 用 户 识别 和 鉴别 : 用 户 拥 有 个 人 使 用 的 一 个 唯一 标识 符 〈 用 户 ID)， 这 样 任何 活 
动 都 能 被 找到 责任 个 体 。 

@ 口令 管理 系统 : 口令 管理 系统 是 在 适当 位 置 上 提供 的 一 种 有 效 的 ， 交 互 式 的 措 
施 ， 确 保 口 令 的 有 效 。 

@ 系统 例 程 调用 : 对 系统 例 程 的 调用 将 被 限制 并 受到 严密 控制 。 

Duress 警报 ， 捍 卫 用 户 : 为 coercion 目标 用 户 提供 Duress 警报 。 

@ 终端 超时 : 在 一 段 规定 时 间 不 使 用 后 ， 处 于 较 危 险 位 置 或 服务 于 高 风险 系统 的 
终端 应 断 开 连接 ， 防 止 未 授权 接 入 。 

连接 时 间 限 制 : 对 用 户 连接 高 风险 服务 的 时 间 应 加 以 限制 。 

(24) 应 用 接 入 控制 的 目标 : 防止 未 授权 用 户 访问 信息 系统 中 的 信息 。 

Q@ 信息 访问 限制 : 依据 规定 的 访问 控制 政策 ， 对 信息 安定 应 用 系统 的 访问 进行 
限制 。 

@ 隔离 敏感 系统 ， 敏 感 系统 需要 一 种 专用 (被 孤立 ) 的 计算 环境 。 

(25) 监控 系统 的 访问 和 使 用 的 目标 : 为 了 发 现 未 经 许可 的 活动 。 

Q@ 事件 记录 : 为 帮助 将 来 的 调查 和 访问 监控 ， 保 持 例外 情况 和 其 他 相关 安全 事件 
的 记录 。 

@ 使 用 监控 系统 : 建立 对 信息 处 理 措施 的 监控 流程 ， 定 期 检查 监控 结果 。 

@ 时 钟 同步 : 为 实现 记录 的 精确 化 ， 计 算 机 时 钟 同步 。 

(26) 移动 计算 和 通信 工作 的 目标 : 为 了 确保 使 用 移动 计算 和 通信 设施 时 的 信息 
安全 。 
@ 移动 计算 : 制定 官方 政策 ， 采 取 适 当 的 控制 以 减少 移动 计算 设施 工作 的 风险 ， 
特别 是 在 没有 防卫 的 环境 中 。 

@ 通信 工作 : 制定 政策 和 工作 流程 ， 对 通信 工作 进行 授权 和 控制 。 

@ 系统 发 展 和 维护 : 制定 发 展 规划 与 计划 ， 建 立 系统 运行 维护 制度 与 规范 。 

(27) 系统 安全 要 求 的 目标 : 确保 信息 系统 中 建立 安全 体系 。 

安全 要 求 分 析 和 说 明 : 对 新 系统 的 商业 要 求 ， 或 者 增强 现 有 系统 的 能 力 将 规定 对 控 
制 的 要 求 。 
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(28) 应 用 系统 的 安全 的 目标 : 为 了 防止 损失 ， 修 改 或 者 误 用 应 用 系统 中 的 用 户 
数据 。 

@ 输入 数据 有 效 : 输入 应 用 系统 的 数据 应 是 正确 和 适当 的 。 

@ 内 部 进程 的 控制 : 系统 加 入 有 效 检查 以 检查 数据 处 理 的 正确 性 。 

@ 信息 鉴别 : 对 保护 信息 内 容 完 整 性 有 安全 需求 的 系统 应 使 用 信息 鉴别 。 

@ 输出 数据 有 效 : 应 用 系统 的 数据 输出 确保 存储 信息 处 理 是 正确 的 并 适用 于 环境 。 

(29) Cryptographic 控制 的 目标 : 保护 信息 的 机 密 性 、 信 息 性 和 完整 性 。 

@ Cryptographic 的 使 用 政策 : 为 保护 信息 ， 发 展 和 遵循 Cryptographic 控制 的 使 用 
政策 。 

@ Encryption: Encryption 将 被 应 用 于 保护 敏感 或 者 关键 的 信息 的 机 密 。 

@ 数字 签名 : 数字 签名 被 应 用 于 保护 电子 信息 的 真实 和 完整 性 。 

@ 非 批判 服务 ， 非 批判 服务 用 于 解决 关于 事件 的 发 生 或 者 非 发 生 的 争论 。 

@@ 关键 的 管理 ， 基 于 统一 的 装置 的 标准 ， 过 程 和 方法 的 关键 管理 系统 将 用 于 支持 
使 用 Cryptographic 技术 。 

(30) 安全 系统 的 目标 ; 确保 以 一 种 安全 的 方式 实施 IT 项 目 和 支持 活动 。 

Q@ 操作 软件 控制 : 控制 操作 系统 上 的 运行 软件 。 

@ 系统 测试 数据 的 保护 : 保护 和 控制 测试 数据 。 

@ 程序 源 代码 库 的 访问 控制 ， 严格 控制 对 程序 源 代 码 库 的 访问 。 

(31) 研发 和 技术 支持 程 的 安全 的 目标 : 保持 应 用 系统 软件 和 信息 的 安全 。 

@ 修改 控制 流程 : 修改 应 在 严密 控制 下 进行 ， 通 过 使 用 正式 的 修改 控制 流程 最 大 
限度 地 减少 对 信息 系统 危害 。 

@ 对 修改 操作 系统 进行 技术 检查 : 当 应 用 系统 发 生变 化 时 ， 应 对 其 进行 检查 和 
测试 。 

@ 软件 包 更 改 限制 : 不 鼓励 对 软件 包 进 行 改动 ， 必 要 时 ， 须 在 严密 控制 下 进行 。 

@ 隐藏 通道 和 特洛伊 代码 : 对 软件 的 购买 ， 使 用 和 修正 进行 控制 和 检查 ， 以 免 受 
到 可 能 的 隐藏 通道 和 特洛伊 代码 的 危害 。 

@ 外 购 软件 开发 : 对 外 购 软件 的 开发 进行 安全 控制 。 


3. BS 7799-2: 1999 标准 在 信息 安全 示范 工程 中 的 应 用 

本 次 示范 工程 中 ， 管 理 体 系 和 技术 体系 的 开发 与 运行 和 工程 实施 步 又 参考 了 BS 
7799-2 中 定义 的 ISMS 框架 ，ISMS 框架 如 图 2-10 所 示 。 
2.7.3 ISO/EC TR 13335 标准 的 主要 内 容 及 工程 应 用 


1. ISO/TEC TR 13335 标准 的 主要 内 容 


ISO 13335 是 一 个 由 五 部 分 构成 的 系列 标准 ， 围 绕 着 风险 管理 对 信息 安全 管理 的 各 
个 方面 进行 阐述 。 
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图 2-10 ISMS 框架 示意 图 


(1) ISOTEC TR 13335-1 信息 安全 概念 与 模型 : 主要 引入 了 基本 的 管理 概念 和 模型 ， 
这 些 概念 和 模型 是 信息 安全 管理 介绍 的 根本 。 

(2) ISO/TEC TR 13335-2 信息 安全 管理 与 计划 : 用 于 阐述 信息 安全 管理 各 部 分 内 容 
的 本 质 ， 以 及 这 些 内 容 间 的 相互 关系 。 

(3) ISO/IEC TR 13335-3 信息 安全 技术 管理 : 描述 了 与 IT 安全 技术 相关 的 管理 活 
动 ， 从 策略 、 风 险 评 估 、 计 划 、 执 行 ， 以 及 后 续 的 一 些 维护 和 监督 的 一 个 循环 的 过 程 ; 
其 中 着 重 介绍 了 联合 风险 分 析 方 法 。 

(4) ISO/IEC TR 13335-4 安全 措施 的 选择 : 定义 并 描述 信息 安全 管理 的 相关 概念 ; 
辨别 信息 安全 管理 和 普通 的 信息 管理 间 的 区 别 ， 描 述 几 个 常用 的 模型 来 解释 信息 安全 管 
理 ; 提出 信息 安全 管理 的 通用 指导 。 

(5) ISOTEC TR 13335-5 网 络 安全 管理 指南 : 在 确定 网 络 安全 需求 时 ， 应 鉴定 、 分 
析 和 通信 相关 的 因素 : 先 对 通信 、 和 网 络 相关 的 安全 因素 做 了 介绍 ， 然 后 针对 不 同 的 网 
络 连 接 划分 不 同 的 信任 关系 ， 分 析 针 对 不 同 的 安全 风险 可 能 采取 不 同 的 防护 措施 ， 最 后 
介绍 各 种 安全 措施 。 


2. ISO/TEC TR 13335 标准 在 信息 安全 示范 工程 中 的 应 用 


(1) ISO/TEC TR 13335-1 信息 安全 概念 与 模型 : 参考 了 其 中 信息 安全 概念 和 模型 ， 
与 信息 安全 要 素 的 定义 ， 确 定 了 风险 关系 模型 ， 指 导 安 全 评估 。 

(2) ISO/TEC TR 13335-2 信息 安全 管理 与 计划 : 参考 了 其 中 信息 安全 管理 计划 ， 确 
定 本 工程 安全 管理 体系 的 部 分 内 容 。 

(3) ISO/TEC TR 13335-3 信息 安全 技术 管理 : 参考 了 其 中 风险 管理 的 流程 以 及 风险 
分 析 的 方法 ， 确 定 了 本 工程 风险 分 析 方法 和 工程 实施 流程 。 
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(4) ISOTEC TR 13335-4 安全 措施 的 选择 : 参考 了 其 中 从 风险 分 析 的 结果 导出 信息 
安全 需求 的 分 析 ， 以 及 安全 措施 选择 的 建议 ， 指 导 本 工程 技术 体系 的 规划 与 设计 。 

(5) ISO/TEC TR 13335-5 网 络 安全 管理 指南 : 参考 了 其 中 的 网 络 连 接 与 信任 关系 的 
分 析 ， 设 计 网 络 边界 与 内 部 安全 区 域 之 间 的 防护 方案 。 


2.7.4 SSE-CMM 标准 的 主要 内 容 及 工程 应 用 


1. SSE-CMM 标准 的 主要 内 容 


SSE-CMM 是 系统 安全 工程 能 力 成 熟 模型 (Systems Security Engineering Capability 
Maturity Model) 的 缩写 ， 它 描述 了 一 个 组 织 的 安全 工程 过 程 必须 包含 的 本 质 特征 ， 这 些 
特征 是 完善 的 安全 工程 保证 。 尽 管 SSE-CMM 没有 规定 一 个 特定 的 过 程 和 步骤 ， 但 是 它 
汇集 了 工业 界 常见 的 实施 方法 。 本 模型 是 安全 工程 实施 的 标准 度量 标准 ， 它 覆盖 了 如 下 
几 个 方面 。 

(1) 整个 生命 期 包括 开发 、 运 行 、 维 护 和 终止 。 

(2) 整个 组 织 ， 包 括 其 中 的 管理 、 组 织 和 工程 活动 。 

(3) 与 其 他 规范 并 行 的 相互 作用 ， 如 系统 、 软 件 、 硬 件 、 人 的 因素 、 测 试 工程 、 系 
统管 理 、 运 行 和 维护 等 规范 。 

(4) 与 其 他 机 构 的 相互 作用 ， 包 括 获 取 、 系 统管 理 、 认 证 、 认 可 和 评价 机 构 。 

在 SSE-CMM 模型 描述 中 ， 提 供 了 对 所 基于 的 原理 、 体 系 结构 的 全 面 描述 ， 模 型 的 
高 层 综述 ， 适当 运用 此 模型 的 建议 ; 包括 在 模型 中 的 实施 以 及 模型 的 属性 描述 。 它 还 包 
括 了 开发 该 模型 的 需求 。SSE-CMM 评定 方法 部 分 描述 了 针对 SSE-CMM 来 评价 一 个 组 
织 的 安全 工程 能 力 的 过 程 和 工具 。 

SSE-CMM 为 安全 工程 能 力 由 低 到 高 定义 了 5 级 成 熟 度 。 

Q@ 非 正式 的 执行 。 

@ 计划 和 跟踪 。 

@ 充分 定义 。 

@ 定量 控制 。 

@ 持续 改进 。 

在 通过 工程 能 力 评估 后 ， 将 确定 一 个 工程 机 构 具 有 的 能 力 等 级 。 

SSE-CMM 将 安全 工程 项 目 划分 为 22 个 过 程 域 (Process Area 或 PA)， 各 个 过 程 域 
完成 不 同 的 任务 。 为 了 完成 任务 ，SSE-CMM 给 每 个 过 程 域 都 定义 一 组 基本 实践 〈Basic 
Practice 或 BP), 并 规定 每 一 个 这 样 的 基本 实践 都 是 完成 该 子 任务 所 不 可 缺少 的 。 过 程 域 
包括 三 部 分 : 工程 过 程 域 11 个 、 项 目 过 程 域 S 个 、 组 织 过 程 域 6 个 。 

SSE-CMM 将 安全 工程 分 为 风险 过 程 、 工 程 过 程 、 保 证 过 程 3 个 部 分 。3 个 过 程 中 
包含 了 相应 的 过 程 域 。 


2. SSE-CMM 在 信息 安全 示范 工程 中 的 应 用 


示范 工程 参照 SSE-CMM 定义 的 过 程 域 (PA) 和 基础 实践 (BP), 确定 了 工程 内 容 ， 
覆盖 如 下 PA。 
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(1) PA01- 管 理 安全 控制 : 对 所 采用 的 风险 控制 进行 管理 。 

@ 确定 人 员 的 安全 职责 。 

@ 管理 安全 设备 (包括 软件 和 硬件 ) 的 配置 。 

@ 管理 人 员 的 培训 。 

@ 管理 和 维护 安全 控制 措施 。 

(2) PA02- 评 估 影 响 : 确定 和 描述 安全 风险 对 系统 资产 的 影响 。 

@ 确定 系统 信息 资产 。 

@ 确定 资产 度量 标准 。 

@ 确定 和 描述 可 能 产生 的 影响 。 

(3) PA03- 评 估 安 全 风险 : 确定 信息 系统 中 的 安全 风险 。 

@ 选择 风险 评估 方法 。 

@ 确定 风险 。 

@ 分 析 风 险 。 

@ 排列 风险 的 次 序 。 

(4) PA04- 评 估 威 胁 : 确定 系统 可 能 面临 的 威胁 ， 并 描述 这 些 威胁 的 特征 。 
@ 确定 系统 可 能 面临 的 威胁 。 

@ 确定 威胁 的 度量 单位 。 

@ 评估 威胁 事件 发 生 的 可 能 性 。 

(5) PA05- 评 估 脆 弱点 : 确定 和 描述 辽宁 信息 系统 中 存在 的 脆弱 点 。 
Q@ 确定 脆弱 点 分 析 方 法 。 

@ 确定 脆弱 点 。 

@ 描述 脆弱 点 的 特征 。 

(6) PA06- 建 立 保证 论证 ， 提供 已 满足 其 安全 需求 的 证 据 。 

Q@ 确定 保证 目标 。 

@ 定义 保证 策略 。 

@ 维护 保证 证 据 。 

@ 分 析 证 据 。 

@ 提供 保证 论证 。 

(7) PA07- 协 调 安全 : 所 有 项 目 组 成 员 及 外 部 人 员 之 间 保 持 不 断 的 沟通 。 
@ 定义 协调 目标 。 

@ 确定 协调 机 制 。 

@ 协调 决策 和 建议 。 

(8) PA08- 监 测 安全 状态 ， 监 视 内 部 和 外 部 环境 中 所 有 可 能 影响 系统 安全 的 因素 。 
@ 分 析 日 志 记 录 。 

@ 监测 威胁 、 脆 弱点 、 影 响 、 风 险 的 改变 。 

@ 确定 安全 突 发 事件 。 

@ 监测 安全 措施 。 

@ 审查 系统 的 安全 性 。 
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@ 管理 突 发 事件 的 响应 。 

(9) PA09- 提 供 安 全 输入 : 为 系统 的 设计 、 实 施 、 使 用 提供 必要 的 安全 信息 。 

@ 理解 安全 输入 的 需求 。 

@ 确定 参照 的 安全 相关 标准 、 规 范 。 

@ 确定 安全 解决 方案 。 

@ 提供 安全 工程 指导 。 

@ 提供 运行 安全 指导 。 

(10) PA10- 明 确 安全 需求 : 与 公司 共同 确定 系统 的 安全 需求 。 理 解 辽宁 电力 公司 的 
安全 需求 。 

@ 确定 安全 目标 。 

@ 确定 相关 法 律 、 政 策 。 

@ 确定 与 安全 相关 的 环境 因素 。 

@ 开发 系统 的 安全 规划 。 

@ 定义 最 终 的 安全 需求 。 

(11) PA11- 验 证 和 核实 安全 : 确保 解决 安全 问题 的 方案 已 得 到 验证 和 核实 。 

@ 确定 验证 和 核实 目标 。 

@ 定义 验证 和 核实 目标 。 

@ 执行 验证 和 核实 。 

@ 提供 验证 和 核实 的 结果 。 

本 次 示范 工程 的 工程 过 程 基本 达到 SSE-CMM 能 力 成 熟 度 2 级 ， 风 险 过 程 基本 达到 
SSE-CMM 能 力 成 熟 度 3 级 。 


2.7.5 ”NIST SP 800-30 标准 的 主要 内 容 及 工程 应 用 


NIST SP 800-30 是 《信息 系统 风险 管理 指南 》。 本 次 示范 工程 的 工程 ,参考 NIST SP 
800-30， 确 定 了 工程 的 风险 管理 过 程 包括 识别 风险 、 评 估 风 险 、 采 取 措 施 控制 风险 三 部 
分 ; 确定 了 风险 评估 的 具体 流程 ， 确 定 了 工程 采用 的 分 析 控 制 措施 ， 其 中 包括 : 安全 技 
术 控 制 措施 、 安 全 管理 控制 措施 、 安 全 运行 控制 措施 ， 并 且 指 导 了 技术 体系 、 管 理 体系 
的 开发 。 


2.7.6 ”加 拿 大 风险 评估 工作 指南 的 主要 内 容 及 工程 应 用 


1. 主要 内 容 与 作用 


《加 拿 大 风险 评估 工作 指南 》 是 加 拿 大 通信 安全 部 于 1999 年 发 布 的 一 个 比较 有 影响 
的 信息 系统 风险 评估 指导 ， 它 帮助 我 们 了 解 对 一 个 信息 系统 风险 评估 项 目 需 要 做 什么 ， 
需要 生成 哪些 关键 文档 ， 但 是 具体 怎么 去 做 涉及 的 并 不 多 。 

《加 拿 大 风险 评估 工作 指南 》 详 细 地 描述 了 一 个 风险 评估 的 流程 ， 它 将 评估 分 为 
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9 步 。 
(1) 准备 和 计划 。 

(2) 收集 数据 。 

(3) 分 析 策 略 和 标准 的 依从 性 。 
(4) 分 析 资 产 的 敏感 性 。 

(5) 威胁 分 析 。 

(6) 脆弱 性 分 析 。 

(7) 风险 分 析 。 

(8) 评估 系统 风险 为 可 接受 性 。 
(9) 递交 《最 终 的 风险 评估 报告 》。 


2. 在 信息 安全 示范 工程 中 的 应 用 


在 我 们 对 辽宁 电力 有 限 公司 的 信息 系统 所 做 的 风险 评估 中 ， 充 分 地 参考 了 《加 拿 大 
风险 评估 工作 指南 》。 并 结合 辽宁 电力 公司 的 具体 情况 以 及 一 些 客观 的 原因 (时 间 、 经 费 、 
对 指南 的 理解 、 技 术 手 段 等 ) 做 了 适当 的 调整 。 


第 3 章 网络 信息 安全 系统 设计 与 应 用 


网 络 信息 安全 工程 是 信息 化 工程 中 的 重要 工程 ， 是 一 项 庞大 和 复杂 的 管理 系统 工 
程 , 网 络 信息 安全 系统 设计 是 十 分 重要 环节 。 本 章 介 绍 网 络 信息 安全 系统 总 体 框架 设计 ， 
网 络 信息 安全 管理 体系 ， 网 络 信息 安全 技术 体系 的 设计 及 应 用 实例 。 


3.1 网 络 信息 安全 系统 总 体 框架 设计 


本 节 介绍 网 络 信息 安全 框架 模型 、 信 息 安 全 总 方针 、 信 息 安 全 管理 体系 、 信 息 安 全 
技术 体系 以 及 信息 安全 工程 过 程 模型 。 


3.1.1 总 体 工程 框架 模型 


网 络 信息 安全 模型 是 信息 安全 工程 的 灵魂 。 在 全 面 系统 地 参考 了 目前 国内 外 主要 的 
信息 安全 相关 标准 基础 上 ， 结 合 行业 特点 ， 结 合 企业 生产 
运营 特点 ， 结 合 信息 安全 现状 和 需求 ， 结 合 示范 工程 预期 
目标 ， 开 发 了 企业 信息 安全 模型 ， 从 宏观 上 表达 了 企业 信 
息 安全 建设 的 总 体 框架 。 它 由 相互 关联 的 4 个 相关 体系 组 
成 : 信息 安全 总 方针 、 信 息 安全 管理 体系 、 信 息 安 全 技术 
体系 和 信息 安全 工程 模型 。 

公式 表达 为 : 企业 信息 安全 框架 = 信息 安全 总 方针 + 信 
息 安全 管理 体系 + 信息 安全 技术 体系 + 信息 安全 工程 模型 。 

模型 的 核心 意义 是 : 以 信息 安全 总 方针 为 指导 核心 ， 
以 标准 化 信息 系统 安全 工程 理论 与 方法 为 指导 ， 全 面 实施 ”图 3-1 企业 信息 安全 结构 框架 
信息 安全 管理 体系 和 技术 体系 ， 保 持 信息 系统 安全 水 平 并 
持续 改进 ， 其 框架 图 如 图 3-1 所 示 。 

企业 信息 安全 模型 进一步 展开 ， 关 键 环节 如 图 3-2 所 示 。 


3.1.2 ”信息 安全 方针 
信息 安全 总 方针 是 企业 信息 安全 建设 的 最 高 纲领 和 指导 方针 ， 包 括 信息 安全 目标 、 


信息 安全 理念 、 信 息 安全 模型 和 信息 安全 策略 ， 如 图 3-3 所 示 。 
根据 企业 信息 系统 业务 需求 ， 国 家 及 行业 政策 ， 以 及 示范 工程 的 目标 ， 企 业 信息 安 
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全 目标 如 下 。 


图 3-2 企业 信息 安全 总 体 框架 模型 图 3-3 企业 信息 安全 方针 


(1) 在 企业 建立 起 完整 的 、 标 准 的 文档 化 的 信息 安全 管理 体系 ， 并 实施 与 保持 。 

(2) 在 风险 评估 的 基础 上 ， 合 理 部 署 信息 安全 管理 机 制 和 信息 安全 技术 手段 ， 将 信 
息 安全 风险 降 至 企业 可 以 接受 的 水 平 。 

(3) 形成 动态 的 、 系 统 的、 全 员 参 与 的 、 制 度 化 的 、 预 防 为 主 的 、 持 续 改进 的 信息 
安全 管理 模式 ， 从 根本 上 保证 企业 生产 运营 的 连续 性 。 

面向 以 上 目标 ， 企 业 信 息 安全 方针 如 下 。 

(1) 遵循 国内 外 信息 安全 主流 标准 和 理念 。 

(2) 落实 企业 信息 安全 组 织 和 制度 管理 体系 )。 

(3) 部 署 全 面 合理 的 技术 防范 体系 。 

(4) 提高 全 体 员工 信息 安全 素质 (安全 意识 和 安全 技能 )。 

(5) 建立 信息 安全 深度 防御 体系 。 

(6) 保障 企业 生产 运营 的 连续 性 。 

(7) 跟踪 信息 安全 发 展 趋势 (包括 标准 和 技术 )。 

(8) 保持 信息 安全 整体 水 平 不 断 巩 固 提高 。 


3.1.3 ”信息 安全 管理 体系 


信息 安全 管理 体系 是 信息 安全 体系 运作 的 核心 驱动 力 ， 包 括 制度 体系 、 组 织 体系 、 
运行 体系 ， 如 图 3-4 所 示 。 

安全 组 织 明 确 安全 工作 中 的 角色 和 责任 ， 以 保证 在 组 织 内 部 开展 和 控制 信息 安全 的 
实施 。 
安全 制度 〈 子 策略 ) 是 由 最 高 方针 统率 的 一 系列 文件 ， 结 合 有 效 的 发 布 和 执行 、 定 
期 的 回顾 机 制 保证 其 对 信息 安全 的 管理 指导 和 支持 作用 。 

安全 运作 管理 是 整个 网 络 安全 框架 的 执行 环节 。 通 过 明确 安全 运作 的 周期 和 各 阶段 
的 内 容 ， 保 证 安全 框架 的 有 效 性 。 
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3.1.4 ”信息 安全 技术 体系 


信息 安全 技术 体系 是 各 种 安全 功能 和 需求 的 技术 实现 ， 信 息 安全 技术 体系 ， 包 括 鉴 
别 与 认证 、 访 问 控 制 、 内 容 安 全 、 元 余 与 备份 、 审 计 与 响应 5 个 方面 ， 如 图 3-5 所 示 。 


图 3-4 信息 安全 管理 体系 图 3-5 信息 安全 技术 体系 
3.1.5 ”信息 安全 工程 过 程 模 型 


工程 过 程 模型 ， 参 照 SSE-CMM 中 的 信息 安全 工程 模型 。SSE-CMM 是 “系统 安全 
工程 能 力 成 熟 模型 ”的 缩写 ， 它 抽象 出 了 信息 安全 工程 的 基本 特征 和 基本 过 程 ， 描 述 了 
一 个 组 织 的 信息 安全 工程 过 程 应 该 包含 的 基本 内 容 。 
主要 思想 是 “以 风险 管理 为 核心 的 信息 安全 过 程 ”， 
这 个 理念 已 经 在 业界 广泛 达成 共识 。 以 此 作为 信息 安 
全 示范 工程 的 理论 指导 基础 。 

信息 安全 工程 模型 把 一 个 信息 安全 工程 分 为 相 
互 作用 的 3 个 部 分 , 包括 : 风险 过 程 、 工 程 过 程 和 保 
证 过 程 。 这 3 个 过 程 是 相互 关联 、 相 互 作 用 的 ， 如 图 
3-6 所 示 。 

信息 安全 工程 过 程 就 是 这 3 个 部 分 重复 和 循环 
的 过 程 。 这 3 个 过 程 概括 了 信息 安全 工程 过 程 的 全 部 
内 容 。 并 且 分 解 为 一 系列 子 过 程 和 实践 活动 。 本 示范 
工程 将 遵循 这 个 工程 模型 。 图 3-6 信息 安全 工程 过 程 模型 


3.2 网络 信息 安全 管理 体系 的 设计 


本 节 介 绍 网 络 信息 安全 管理 体系 主要 内 容 ， 企 业 信息 安全 策略 体系 规划 ， 信 息 安 全 
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组 织 建设 ， 信 息 安全 运行 管理 的 工程 方法 。 
3.2.1 网 络 信息 安全 管理 体系 主要 内 容 


网 络 信息 安全 管理 体系 是 信息 安全 体系 建设 的 关键 ， 根 据 信息 安全 风险 评估 ， 对 企 
业 在 信息 安全 管理 体系 上 的 建设 从 信息 安全 策略 开发 、 信 息 安全 组 织 建设 、 信 息 安全 运 
行 管理 3 个 方面 出 发 。 

(1) 信息 安全 策略 开发 : 开发 构成 信息 安全 管理 体系 基础 的 相关 文档 体系 ， 把 信息 
安全 相关 的 制度 和 内 容 通过 文件 的 形式 确定 下 来 ， 并 通过 相应 的 审计 手段 ， 进 行 修改 、 
调整 和 完善 ， 以 便 适 应 安全 形式 的 发 展 。 

(2) 信息 安全 组 织 建 设 : 建设 信息 安全 相应 的 组 织 管理 机 构 ， 充 分 贯彻 信息 安全 策 
略 。 其 中 包括 上 层 管理 和 具体 的 技术 管理 机 构 。 

(3) 信息 安全 运行 管理 : 完善 信息 系统 和 信息 安全 措施 运行 的 过 程 中 所 进行 的 管理 
和 维护 手段 ， 包 括 日 常 维护 ， 风 险 评估 以 及 事件 处 理 等 内 容 。 运 行 管理 和 具体 的 安全 情 
况 有 直接 的 联系 。 


3.2.2 企业 信息 安全 策略 体系 规划 


信息 安全 策略 为 信息 安全 建设 提供 管理 指导 和 支持 。 企 业 应 该 制定 一 套 清晰 的 指导 
方针 ， 并 通过 在 组 织 内 对 信息 安全 策略 的 发 布 和 保持 来 证 明 对 信息 安全 建设 的 支持 与 
承诺 。 

(1) 企业 信息 安全 策略 体系 信息 安全 策略 体系 由 信息 安全 总 方针 、 技术 标准 和 规范 、 
信息 安全 管理 制度 和 规定 、 组 织 机 构 和 人 员 职 责 、 安 全 操作 流程 、 用 户 协议 等 构成 。 

Q@ 信息 安全 总 方针 。 信 息 安 全 总 方针 ， 是 企业 信息 安全 的 纲领 性 策略 文件 。 主 要 
陈述 策略 文件 的 目的 、 适 用 范围 、 信 息 安全 的 管理 意图 、 支 持 目标 以 及 指导 原则 ， 信 息 
安全 各 个 方面 所 应 遵守 的 原则 方法 和 指导 性 策略 。 

策略 结构 中 的 其 他 部 分 都 是 从 信息 安全 总 方针 引申 出 来 ， 并 遵照 总 方针 ， 不 发 生 抵 
触 或 违背 其 中 的 指导 思想 。 

@ 技术 标准 和 规范 。 技 术 标准 和 规范 ， 包 括 各 个 网 络 设备 、 主 机 操作 系统 和 主要 
应 用 程序 应 遵守 的 安全 配置 和 管理 的 技术 标准 和 规范 。 技 术 标 准 和 规范 将 作为 各 个 网 络 
设备 、 主 机 操作 系统 和 应 用 程序 的 安装 、 配 置 、 采 购 、 项 目 评审 、 日 常安 全 管理 和 维护 
时 必须 遵照 的 标准 ， 不 允许 发 生 违背 和 冲突 。 

技术 标准 和 规范 向 上 遵照 信息 安全 总 方针 ， 向 下 延伸 到 安全 操作 流程 ， 作 为 安全 操 
作 流 程 的 依据 。 

@ 信息 安全 管理 制度 和 规定 。 从 安全 策略 主 文档 中 规定 的 安全 各 个 方面 所 应 遵守 
的 原则 方法 和 指导 性 策略 引出 的 具体 管理 规定 管理 办 法 和 实施 办 法 必须 具有 可 操作 性 ， 
而 且 必 须 得 到 有 效 推行 和 实施 。 

信息 安全 管理 制度 和 规定 向 上 遵照 信息 安全 总 方针 ， 向 下 延伸 到 用 户 签署 的 文档 和 
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协议 。 用 户 协 议 必须 遵照 管理 规定 和 管理 办 法 ， 不 得 与 之 发 生 违 背 。 

@ 组 织 机 构 和 人 员 职 责 。 安 全 管理 组 织 机 构 和 人 员 的 安全 职责 ， 包 括 安全 管理 机 
构 的 组 织 形 式 和 运行 方式 ， 机 构 和 人 员 的 一 般 责任 和 有 具体 责任 。 作 为 机 构 和 员工 具体 工 
作 中 的 具体 职责 依据 。 

组 织 机 构 和 人 员 职 责 从 信息 安全 总 方针 中 延伸 出 来 ， 其 具体 执行 和 实施 由 管理 规 
定 、 技 术 标 准 规范 、 操 作 流程 和 用 户 手册 来 落实 。 

@ 安全 操作 流程 。 安 全 操作 流程 ， 详 细 规 定 主要 业务 应 用 和 事件 处 理 的 流程 和 步 
又 和 相关 注意 事项 。 作 为 具体 工作 中 的 具体 依照 ， 此 部 分 必须 具有 可 操作 性 ， 而 且 必 须 
得 到 有 效 推行 和 实施 。 

@ 用 户 协 议 。 用 户 协 议 指 用 户 签署 的 文档 和 协议 。 包 括 安全 管理 人 员 、 网 络 和 系 
统管 理 员 的 安全 责任 书 、 保 密 协议 、 安 全 使 用 承诺 等 。 作 为 员工 或 用 户 对 日 常 工作 中 的 
遵守 安全 规定 的 承诺 ， 也 作为 安全 违背 时 处 罚 的 依据 。 

@ 信息 安全 策略 文件 的 开发 。 

根据 上 面 描述 的 策略 文档 结构 ， 建 议 企业 制定 下 面 一 系列 策略 文档 。 

@ 信息 安全 总 方针 : 定义 了 企业 的 信息 安全 目标 、 安 全 管理 原则 、 信 息 安全 总 策 
略 等 基本 内 容 ， 是 企业 建立 策略 体系 ， 指 导 信 息 安 全 工作 的 基础 。 

@ 组 织 机构 和 人 员 职 责 ; 明确 规定 了 企业 所 设立 的 信息 安全 岗位 以 及 各 岗位 的 工 
作 职 责 。 

@ 人 员 安 全 岗位 分 配 ， 明确 规 定 了 各 个 信息 安全 岗位 的 人 员 。 

@ 员工 培训 指南 : 规定 了 培训 员工 的 方法 和 流程 ， 以 及 相关 部 门 、 人 员 对 员工 培 
训 工作 的 职责 。 并 按照 指南 对 员工 进行 培训 , 提高 员工 的 安全 意识 和 信息 安全 技术 水 平 。 

@ 信息 安全 管理 制度 和 规定 : 制定 了 信息 安全 策略 推广 、 修 改 、 审 查 、 维 护 的 管 
理 规定 。 使 信息 安全 策略 能 够 持续 、 有 效 地 指导 信息 安全 工作 。 

信息 系统 项 目 安全 规定 : 规定 了 在 信息 系统 项 目 规划 、 设 计 、 实 施 、 验 收 中 的 
安全 性 要 求 。 使 公司 的 信息 系统 建设 有 充分 的 安全 考虑 ， 保 证 信息 系统 有 持续 的 安全 
水 平 。 

@ 便携 机 管理 规定 : 制定 了 公司 信息 系统 所 有 便携 机 (包括 但 不 限于 个 人 用 、 部 
门 公用 、 调 测 用 的 便携 机 ) 的 资产 管理 规定 、 出 入 管理 规定 、 使 用 管理 规定 。 加 强 了 对 
便携 机 的 规范 化 管理 ， 确 保 了 信息 资产 的 安全 ， 保 护 了 信息 的 保密 性 。 

病毒 防治 管理 规定 : 制定 了 公司 信息 系统 对 防治 病毒 的 管理 制度 以 及 相关 部 门 、 
人 员 对 防治 病毒 的 安全 职责 。 加 强 了 公司 信息 系统 预防 和 控制 病毒 的 能 力 。 

@ 第 三 方 来 访 接待 管理 办 法 : 制定 了 接待 第 三 方 来 访 人 员 〈 包 括 软件 开发 商 、 硬 
件 供应 商 、 系 统 集成 商 、 设 备 维护 商 、 服 务 提供 商 等 ) 的 管理 规定 。 规 范 了 第 三 方 来 访 
接待 管理 ， 以 保证 公司 信息 系统 的 信息 安全 。 

计算 机 用 户 使 用 规则 : 规定 了 公司 信息 系统 所 有 用 户 使 用 信息 系统 、 网 络 系统 
和 桌面 计算 机 的 规则 。 起 到 了 规范 公司 信息 系统 的 安全 维护 管理 ， 促 进 安全 维护 和 管理 
工作 体系 化 、 规 范 化 ， 提 升 公司 服务 质量 ， 提 高 公司 维护 队伍 的 整体 安全 素质 和 水 平 的 
作用 。 它 是 指导 公司 进行 计算 机 安全 合理 使 用 管理 工作 的 基本 依据 。 
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数据 保密 管理 规定 : 制定 了 对 公司 信息 系统 所 有 数据 资产 (包括: 业务 数据 、 客 
户 数据 、 业 务 发 展 数据 、 与 生产 经 营 密切 相关 的 其 他 数据 ) 进行 分 类 、 鉴 定 的 标准 ， 以 
及 为 防止 数据 丢失 、 盗 用 和 非 授权 访问 的 管理 规定 。 

时 网 络 设备 安全 管理 规定 : 建立 网 络 设备 的 安全 管理 规定 以 及 相关 部 门 和 人 员 对 网 
络 设备 的 安全 职责 。 以 此 规定 为 指导 , 审视 公司 信息 系统 生产 环境 的 网 络 设备 的 安全 性 ， 
降低 网 络 系统 存在 的 安全 风险 ， 确 保 网 络 系统 安全 可 靠 地 运行 。 

手 维护 商 安全 管理 办 法 : 制定 了 接待 和 管理 维护 商 的 规定 和 标准 。 规 范 了 维护 商 
进行 维护 时 的 安全 管理 ， 以 保证 公司 信息 系统 的 信息 安全 。 

无 用 户 账号 和 口令 管理 条 例 : 制定 了 对 公司 系统 用 户 〈 包 括 但 不 限于 数据 库 系 统 
管理 员 、 业 务 系统 管理 员 、 网 络 管理 员 、 业 务 系 统 使 用 人 员 、 个 人 计算 机 使 用 者 、 合 作 
软件 开发 商 、 系 统 集 成 商 等 ) 账号 及 口令 设立 、 使 用 、 维 护 的 管理 条 例 。 

7 机 房管 理 规章 制度 :制定 了 机 房 物理 环境 的 标准 ， 人 员 出 入 机 房 的 管理 制度 。 
规范 了 机 房 的 管理 ， 以 保证 公司 信息 系统 的 信息 安全 。 

六 信息 资产 管理 制度 :制定 了 公司 信息 系统 资产 鉴别 、 分 类 的 方法 和 流程 ， 以 及 
对 信息 资产 进行 管理 的 制度 。 利 用 它 将 规范 、 有 效 地 管理 信息 资产 。 

九 服务 器 和 网 络 设备 日 常 维护 制度 : 制定 了 对 服务 器 和 网 络 设备 监控 、 审 计 、 配 
置 更 改 等 的 制度 。 规 范 了 对 服务 器 和 网 络 设备 的 日 常 维护 工作 ， 保 证 公司 信息 系统 的 信 
息 安全 。 

弟 系统 软件 和 应 用 软件 使 用 的 规定 : 确保 公司 信息 系统 中 使 用 的 系统 软件 和 应 用 软 
件 是 正确 的 、 有 效 的 、 可 控制 的 ， 对 软件 的 漏洞 和 隐患 能 够 及 时 修补 。 

且 特殊 访问 权限 用 户 协议 : 规定 了 在 公司 信息 系统 中 , 用 户 使 用 特殊 访问 权限 的 行 
为 规范 。 帮 助 有 访问 特权 人 员 正 确 、 安 全 地 使 用 这 些 权力 ， 所 有 申请 访问 特权 的 人 都 必 
须 仔 细 阅 读 并 且 签署 这 份 协议 ， 拒 绝 签署 本 协议 的 人 将 无 权 获 得 申请 资格 。 

| 信息 安全 用 户 手册 : 确保 公司 信息 系统 网 络 安全 稳定 地 运行 ， 规 范 员 工行 为 ， 
合理 安全 地 使 用 公司 信息 系统 网 络 资源 。 

广 各 操作 系统 安全 配置 标准 : 建立 各 种 操作 系统 的 安全 配置 标准 并 以 此 标准 为 指 
导 ， 配 置 和 审视 公司 信息 系统 的 各 服务 器 的 安全 性 ;降低 系统 存在 的 安全 风险 ， 确 保 系 
统 安全 可 靠 地 运行 。 

稍 存储 介质 安全 管理 标准 : ”保障 公司 信息 系统 存储 介质 〈 包 括 : 磁带 、 磁 盘 、 光 
盘 、 硬 盘 、 磁 盘 阵 列 等 ) 的 信息 安全 ， 为 存储 介质 的 使 有 用、 存储、 携带、 记录、 清单 等 
活动 提供 明确 的 安全 管理 标准 。 

六 防火 墙 安全 标准 : 为 保证 公司 信息 系统 的 信息 安全 ， 规 范 防火 墙 的 选择 、 安 装 
和 配置 、 日 常 管理 维护 。 

各 数据 保密 策略 和 标准 : 加 强 公司 信息 系统 信息 的 保密 管理 ， 确 保 公司 信 息 系统 
机 密 信息 的 安全 。 为 依法 保护 与 公司 信息 系统 经 营 活 动 相关 的 所 有 机 密 信 息 ， 提 供 标 准 
与 依据 。 

中 通用 网 络 服务 安全 标准 : 规范 公司 信息 系统 的 安全 维护 管理 ， 加 强 对 公司 信息 
中 心 系统 的 日 常安 全 维护 ， 促 进 安全 维护 规范 化 。 本 标准 是 指导 公司 信息 系统 维护 管理 
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工作 的 基本 依据 , 安全 管理 和 维护 管理 人 员 必 须 认 真 执行 本 规程 , 并 根据 工作 实际 情况 ， 
制定 并 遵守 相应 的 安全 标准 、 流 程 和 安全 制度 实施 细则 ， 做 好 安全 维护 管理 工作 。 

】 网 络 设备 安全 标准 : 建立 网 络 设备 的 安全 管理 规定 ， 并 以 此 规定 为 指导 ， 审 视 
公司 信息 系统 生产 环境 的 网 络 设备 的 安全 性 ， 降 低 网 络 系统 存在 的 安全 风险 ， 确 保 网 络 
系统 安全 可 靠 地 运行 。 

) 业务 系统 软件 安全 技术 标准 : ”描述 了 应 用 系统 技术 方面 的 安全 要 求 和 规范 。 可 
以 作为 制定 应 用 系统 需求 说 明 书 安全 需求 部 分 的 参考 ， 也 可 以 作为 评估 应 用 系统 安全 性 
的 标准 和 规范 。 规 范 了 业务 应 用 系统 的 开发 和 配置 操作 ， 保 证 公司 信息 系统 的 安全 。 

" 安全 事件 处 理 流程 : 为 公司 信息 系统 的 技术 人 员 提 供 一 个 比较 实用 的 安全 事件 
处 理 过 程 。 使 公司 信息 系统 在 遇 到 一 般 的 安全 事件 时 , 能 快速 有 效 地 处 理 问题 , 包括 《 灾 
难 恢 复 流程 《病毒 处 理 流程 《故障 处 理 流程 《黑客 攻击 处 理 流程 》 等 。 

* 系统 安装 操作 流程 : 为 公司 信息 系统 的 技术 人 员 提 供 一 个 实用 的 安装 各 种 操作 
系统 和 数据 库 系 统 的 操作 流程 。 规 范 了 系统 的 安装 过 程 ， 保 证 公司 信息 系统 信息 安全 。 

几 系统 安全 配置 操作 流程 : 制定 了 公司 信息 系统 的 技术 人 员 对 各 种 系统 进行 配置 、 
监控 和 日 常 维护 的 流程 。 规 范 了 操作 系统 、 数 据 库 系 统 等 的 配置 操作 ， 保 证 公司 信息 系 
统 信息 安全 。 

” 信息 安全 策略 的 推行 和 修订 : 信息 安全 策略 系列 文件 制定 后 ， 首 先 在 信息 中 心 
和 几 个 指定 的 部 门 进行 试点 ， 发 现 策略 中 的 不 足 之 处 ， 及 时 修改 ， 并 且 总 结 策略 推广 的 
经 验 ， 为 下 一 步 大 范围 的 推广 打 基础 。 而 后 ， 在 完善 策略 、 总 结 试点 经 验 的 基础 上 ， 在 
公司 全 面 地 推行 信息 安全 策略 。 设 立 专职 机 构 负 责 审查 信息 安全 策略 的 执行 情况 。 

声 定期 的 审查 和 修订 : 对 安全 策略 系列 文件 进行 定期 审视 ， 需 要 检查 以 下 内 容 。 

a. 信息 安全 策略 中 的 变更 。 

b. 信息 安全 标准 中 的 变更 。 

c. 安全 管理 组 织 机 构 和 人 员 的 安全 职责 的 变更 。 

d. 操作 流程 的 更 新 。 

e. 各 类 管理 规定 、 管 理 办 法 和 暂行 规定 的 更 新 。 

f. 用 户 协议 的 更 新 。 


3.2.3 ”信息 安全 组 织 建 设 

建立 合适 的 信息 安全 管理 组 织 框架 ， 以 保证 在 公司 内 部 展开 并 控制 信息 安全 的 实 
施 ， 同 时 使 由 于 人 员 管 理 不 当 造 成 的 安全 问题 得 到 解决 。 

1. 成 立信 息 安全 委员 会 


信息 安全 委员 会 由 信息 安全 领导 小 组 、 信 息 安全 顾问 组 、 信 息 安 全 工作 组 以 及 其 下 
的 负责 具体 安全 工作 的 各 岗位 构成 。 各 组 成 部 分 间 的 关系 为 : 信息 安全 领导 小 组 对 信息 
安全 委员 会 负责 ， 信 息 安全 工作 组 对 信息 安全 领导 小 组 负责 ， 当 信息 安全 工作 组 需要 外 
部 专家 支持 时 ， 信 息 安 全 顾问 组 可 以 提供 帮助 ， 信 息 安 全 工作 组 领导 下 的 具体 的 各 信息 
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言 息 安 全 委员 会 的 职位 和 责任 如 图 3-7 所 示 。 


信息 安全 领导 小 组 


于 安全 咨询 机 构 
信息 安全 工作 组 


闸 让 


沙 对 


记号 


图 3-7 信息 安全 委员 会 组 织 结构 图 


(1) 信息 安全 领导 小 组 由 公司 相关 高 层 领 导 组 成 的 委员 会 ， 对 于 网 络 安 全 方面 
的 重大 问题 做 出 决策 ， 并 支持 和 推动 信息 安全 工作 在 整个 公司 范围 内 的 实施 。 

(2) 信息 安全 工作 组 一 一 以 一 个 专门 的 信息 安全 工作 组 , 负责 整个 信息 系统 的 安全 。 
配置 以 下 岗位 : 

Q@ 安全 主管 SCM 一 一 第 一 负责 人 , 对 所 有 的 信息 安全 事件 进行 协调 、 调 查 和 管理 ， 
并 全 权 处 理 信息 安全 事件 。 

@) LSA 一 一 系统 分 析 员 (Lead System Analyst) 负责 系统 安全 情况 的 分 析 和 整理 。 

@ CSA 一 一 安全 分 析 员 (Computer Security Analyst) 负责 系统 的 安全 管理 、 协 调和 
技术 指导 。 

@ CERT 一 一 紧急 响应 小 组 (Computer Emergency Response Team) 负责 监控 入 侵 检 
测 设备 ， 并 对 投诉 的 、 上 报 的 和 发 现 的 等 各 种 安全 事件 进行 响应 。 

@ SPM 一 一 安全 策略 管理 〈Security Policy Management) 负责 安全 策略 的 开发 制定 、 
推广 和 指导 。 

@ NSM 一 一 网 络 安全 管理 (Network Security Management) 负责 网 络 系统 的 安全 管 
理 、 协 调和 技术 指导 。 

@ ST 一 一 安全 培训 〈Security Training) 负责 安全 培训 、 策 略 培训 工作 的 管理 、 协 调 
和 实施 。 

SA 一 一 安全 审计 (Security Audit) 负责 按照 安全 绩效 考核 标准 进行 安全 审计 管理 、 
工作 监督 和 指导 。 

@ CIAC 一 一 安全 咨询 机 构 (Computer Incident Advisory Capability)， 聘 请 信息 安全 
专家 作为 技术 支持 资源 和 管理 咨询 ， 主 要 向 安全 领导 小 组 提供 建议 ， 审 核 信息 安全 解决 
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方案 ， 向 信息 安全 工作 组 提供 工作 指导 。 
建立 信息 安全 管理 中 心 ， 负 责 监控 信息 安全 状况 ， 管 理 安全 产品 ， 指 导 系 统 安全 管 
理 、 网 络 安全 管理 、 紧 急 响 应 等 岗位 的 工作 。 


3. 进行 信息 安全 培训 与 资质 认证 


对 于 网 络 管理 员 和 专职 的 信息 安全 工作 人 员 来 说 ， 信 息 安 全 培训 和 资质 认证 是 必需 
的 。 通 过 培训 可 以 提高 网 管 人 员 和 信息 安全 工作 人 员 的 安全 素质 ， 从 而 能 够 快速 地 判断 
信息 安全 问题 ， 并 采取 相应 措施 解决 问题 。 

资质 认证 是 衡量 网 络 管理 人 员 和 信息 安全 工作 人 员 专 业 素质 的 尺度 之 一 。 通 过 不 断 
的 培训 和 相应 的 资质 认证 ， 可 以 循序 渐进 地 提高 信息 安全 技术 水 平和 管理 水 平 ， 并 将 其 
保持 在 较 高 状态 。 


3.2.4 ”信息 安全 运行 管理 


信息 安全 运行 管理 是 整个 信息 安全 框架 的 驱动 和 执行 环节 。 一 个 有 效 的 信息 安全 运 
行 是 在 信息 安全 管理 策略 的 指导 下 ， 在 信息 安全 技术 的 保障 下 ， 实 施 信息 安全 工作 。 


1， 信息 资 产 鉴别 和 分 类 


信息 资产 鉴别 和 分 类 是 整个 公司 信息 安全 建设 的 根本 。 只 有 做 了 完整 的 、 全 面 的 信 
息 资产 鉴别 ， 才 能 够 真正 了 解 信息 安全 工作 的 目标 ， 才 能 够 真正 知道 信息 安全 工作 保护 
的 对 象 。 

参照 BS7799/ISO17799 对 信息 资产 的 描述 和 定义 , 可 将 公司 信息 相关 资产 进行 分 类 ， 
如 表 3-1 所 示 。 


表 3-1 信息 资产 的 描述 和 定义 


| 类 别 | 解 各 二 

a 包括 源 代码 、 数 据 库 数据 、 业 务 数据 、 客 户 数据 、 
各 种 数据 资料 、 系 统 文档 、 运 行 管理 规程 、 计 划 、 报 告 、 用 户 手册 等 

纸 质 文档 | 纸 质 的 各 种 文件 、 合 同 、 传 真 、 电 报 、 财 务 报告 、 发 展 计划 等 


业务 流程 和 各 种 业务 生产 应 用 、 为 客户 提供 服务 的 能 力 、WWW、SMTP、POP3、FTP、 
服务 DNS、 网 络 连 接 、 网 络 隔离 保护 、 网 络 管理 、 网 络 安全 保障 等 ; 也 包括 外 部 对 客户 提供 的 
软件 


服务 ， 如 网 络 接 入 ， 电 力 ，IT 产品 售后 服务 和 IT 系统 维护 等 服务 
业务 应 用 软件 、 通 用 应 用 软件 、 网 络 设备 和 主机 的 操作 系统 软件 、 开 发 工具 和 资源 库 等 
软件 ， 包 括 正在 运行 中 的 软件 和 软件 的 光盘 、Key 等 

硬件 计算 机 硬件 、 路 由 器 、 交 换 机 、 硬 件 防火 墙 、 程 挖 交换机、 布线、 备份 存储 设备 等 


其 他 物 。 | 电源 、 空 调 、 保 险 柜 、 文 件 柜 、 门 禁 、 消 防 设施 、 监 视 器 竺 


理 设备 
人 员 包括 人 员 和 组 织 、 各 级 安全 组 织 、 安 全 人 员 、 各 级 管理 人 员 、 网 管 员 、 系 统管 理 员 、 业 | 
务 操 作 人 员 、 第 三 方 人 员 等 


其 他 | 企业 形象 、 客 户 关系 、 信 誉 、 员 工 情绪 等 
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2. 定期 的 风险 评估 


信息 安全 工作 是 一 个 持续 的 、 长 期 的 工作 。 定 期 进行 信息 安全 风险 评估 ， 通 过 对 信 
息 安全 管理 策略 、 信 息 系 统 结构 、 网 络 、 系 统 、 数 据 库 、 业 务 应 用 等 方面 进行 信息 安全 
风险 评估 ， 确 定 所 存在 的 信息 安全 隐患 及 信息 安全 事故 可 能 造成 的 损失 和 风险 大 小 ， 了 
解 在 信息 安全 工作 方面 的 问题 ， 以 及 如 何 解决 这 些 问 题 。 


3. 日 常 运行 维护 管理 


信息 系统 日 常 运行 维护 可 以 切实 地 落实 安全 策略 ， 可 以 有 效 地 利用 技术 方面 的 安全 
工具 和 措施 ， 是 与 员工 、 技 术 人 员 最 直接 相关 的 工作 。 这 些 工 作 包 括 如 下 内 容 。 

(1) 物理 和 环境 安全 : 物理 安全 和 环境 安全 是 网 络 和 系统 安全 的 基础 。 主 要 包括 安 
全 区 域 的 划分 和 安全 管理 规定 ， 设 备 安全 使 用 要 求 等 与 物理 和 环境 相关 的 管理 。 

(2) 网 络 /系统 配置 维护 管理 :对 网 络 设备 /系统 的 日 常 的 配置 维护 以 及 故障 的 处 理 
过 程 做 记录 ， 保 留 行为 日 志 ， 并 应 按 操 作 流 程 进 行 定期 的 、 独 立 的 检查 。 

(3) 日 常备 份 : 建立 常规 程序 以 实施 经 过 批准 的 备份 策略 ， 对 数据 作 备 份 ， 演 练 备 
份 资料 的 及 时 恢复 ， 记 录 登 录 和 登录 失败 事件 ， 并 在 适当 的 情况 下 ， 监 控 设 备 环境 。 对 
重要 的 业务 信息 和 软件 应 该 定期 备份 。 应 该 提供 足够 的 备份 设备 以 确保 所 有 重要 的 业务 
信息 和 软件 能 够 在 发 生 灾难 或 媒体 故障 后 迅速 恢复 。 不 同系 统 的 备份 安排 应 该 定期 地 进 
行 测试 ， 以 确保 可 以 满足 持续 性 运营 计划 的 要 求 。 

(4) 存储 介质 防护 。 应 指定 专人 负责 存储 介质 的 存 取 和 处 理 ， 使 这 些 介质 既 能 得 到 
充分 的 利用 ， 又 不 至 于 被 恶意 用 户 用 于 非法 用 途 。 

(5) 信息 项 目的 安全 审核 工作 

为 了 预防 对 信息 安全 问题 的 发 生 ， 对 于 所 有 关于 信息 系统 的 项 目 都 应 当 在 项 目的 开 
始 阶 段 就 引入 信息 安全 方面 的 规划 和 验证 。 建 立 对 于 新 系统 建设 和 旧 系 统 改造 方面 的 信 
息 安全 要 求 ， 在 验收 和 使 用 前 文档 化 ， 并 测试 。 

(6) 事故 和 灾难 恢复 、 入 侵 事 件 的 响应 与 处 理 机 制 

建立 公司 的 信息 安全 紧急 响应 体系 ， 保 证 在 最 快 的 时 间 内 对 信息 安全 事件 做 出 正确 
响应 ， 确 保 公 司 业务 的 连续 ， 并 为 事件 追踪 提供 支持 。 公 司 系统 信息 安全 紧急 响应 体系 
包括 响应 与 处 理 制度 的 建设 以 及 响应 的 技术 支持 。 

目前 ， 信 息 安 全 紧急 响应 手段 有 日 志 分 析 、 事 件 鉴 别 、 灾 难 恢 复 、 计 算 机 犯罪 取证 、 
攻击 者 追踪 。 公 司 信息 安全 紧急 响应 体系 应 该 具备 这 些 技术 手段 。 同 时 ， 应 该 在 响应 制 
度 和 人 员 上 有 保障 ， 以 保证 紧急 事件 处 理 有 章程 可 循 和 有 人 负责 。 


3.3 ”网络 信息 安全 技术 体系 的 设计 


本 节 介 绍 企业 信息 安全 技术 体系 ， 包 括 鉴 别 和 认证 系统 、 访 问 控制 系统 、 内 容 安全 
系统 、 数 据 见 余 备 份 和 恢复 系统 、 审 计 和 响应 系统 等 主要 内 容 。 
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3.3.1 鉴别 和 认证 系统 


鉴别 和 认证 系统 的 建设 采用 了 PKI-CA 技术 。 通 过 PKI-CA 系统 建设 ， 建 立 了 信息 
系统 全 网 统一 的 认证 与 授权 机 制 ， 确 保 信息 在 产生 、 存 储 、 传 输 和 处 理 过 程 中 的 保密 、 
完整 、 抗 抵赖 和 可 用 ; 将 全 公司 的 信息 系统 用 户 纳 入 到 统一 的 用 户 管理 体系 中 ; 提高 应 
用 系统 的 安全 强度 和 应 用 水 平 。 

根据 企业 信息 安全 应 用 需要 对 CA 中 心 和 密 钥 管理 中 心 的 需求 ， 规 划 的 系统 总 体 的 
建设 层次 如 图 3-8 所 示 。 


第 一 级 CA 中 心 密 钥 管理 中 心 

第 二 级 RA 中 心 “ 上 ----------------- 远程 受理 中 心 
em 

最 终 用 户 最 终 用 户 

请 证 书 币 语 

撤销 申请 撤销 申请 


史 史 
图 3-8 密 钥 管理 中 心 结构 图 

第 一 级 为 电力 企业 CA 中 心 和 密 钥 管理 中 心 。 CA 中心 是 电力 企业 PKI-CA 认证 系统 
的 信任 源头 ， 实 现在 线 签发 用 户 证 书 、 管 理 证 书 和 CRL、 提 供 密 钥 管理 服务 、 提 供 证 书 
状态 查询 服务 等 功能 ;， 密 钥 管理 中 心 负责 加 密 密 钥 的 产生 、 备 份 ， 并 提供 已 备份 密 钥 的 
司法 取证 。 

第 二 级 为 注册 中 心 (RA 中 心 ) 及 远程 受理 中 心 。 本 地 设立 一 个 RA 中 心 ， 来 完成 
接受 用 户 申请 、 审 核 、 证 书 制作 等 功能 。 并 同时 可 根据 实际 的 地 理 位 置 设立 一 个 远程 受 
理 中 心 ， 以 满足 远程 用 户 的 证 书 业 务 需 求 。 

第 三 级 是 最 终 用 户 ， 可 通过 RA 中 心 、 远 程 受理 中 心 进 行 证 书 申 请 、 撤 销 申 请 等 相 
关 证 书 服务 。 

企业 PKI-CA 认证 系统 的 建设 本 着 分 步 建 设 的 原则 ， 初 步 建 立 认证 体系 基本 架构 ， 
并 在 这 些 基 础 上 进行 相关 应 用 的 安全 建设 。 将 来 随 着 应 用 安全 需求 的 增长 再 进行 认证 系 
统 的 进一步 扩展 建设 。 

企业 PKI-CA 认证 系统 具体 设计 如 下 。 

(1) PKI-CA 认证 系统 设计 包括 一 个 KMC 密 钥 管理 中 心 、CA 中 心 、RA 中 心 和 分 
发 中 心 。 同 时 ， 为 了 保证 PKI-CA 认证 系统 的 安全 性 、 可 靠 性 、 高 效 性 、 可 扩展 性 ，CA 
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中 心 设计 为 单 层 结构 。 在 将 来 行业 的 CA 系统 建立 后 ， 可 平滑 地 连接 到 行业 的 根 CA 上 ， 
成 为 整个 行业 PKI-CA 认证 系统 中 的 省 级 认证 中 心 。 

(2) 建立 一 套 主 、 从 目录 服务 器 体系 ， 以 及 OCSP 服务 器 ， 存 放 全 省 所 有 的 证 书 和 
废除 证 书 列 表 ， 实 现 证 书 的 查询 及 CRL 的 发 布 。 

(3) 基于 企业 认证 系统 ， 设 计 提供 安全 应 用 支撑 平台 ， 为 企业 应 用 系统 提供 加 密 、 
解密 、 签 名 、 验 签 等 安全 功能 。 

(4) 在 认证 系统 建立 的 基础 上 应 用 PKI 技术 对 现 有 的 应 用 系统 进行 安全 改造 建设 ， 
从 而 在 整个 企业 建立 起 完整 的 认证 体系 ， 为 公司 的 信息 化 建设 提供 安全 基础 保障 。 


3.3.2 访问 控制 系统 


企业 访问 控制 系统 的 建设 采用 了 防火 墙 技术 。 通 过 对 企业 信息 网 的 网 络 边界 、 面 临 
的 主要 安全 威胁 及 可 能 造成 的 影响 进行 风险 分 析 后 ， 根 据 风险 分 析 结 论 ， 在 信息 网 络 上 
通过 部 署 防火 墙 系统 加 固 网 络 边界 安全 ， 进 行 访问 控制 和 审计 ， 提 高 了 信息 系统 的 综合 
安全 能 力 。 

信息 网 络 系统 经 过 广域网 接口 或 拨号 与 各 所 属 单位 连接 ， 为 了 保证 公司 信息 网 络 中 
信息 系统 的 安全 性 ， 对 经 过 公司 信息 网 络 边界 的 信息 流 进行 限制 、 监 控 、 审 计 、 保 护 、 
认证 等 方面 的 要 求 ， 需 要 采用 VPN 和 防火 墙 协作 的 技术 ， 同 时 结合 其 他 各 种 安全 技术 
搭建 出 一 个 严密 的 业务 安全 平台 。 

VPN 和 防火 墙 协作 强化 了 安全 产品 整体 协同 的 能 力 , 提供 给 用 户 一 个 更 加 完善 的 保 
证 业务 安全 的 网 络 平台 。 它 的 主要 特点 如 下 。 

(1) 确保 关键 信息 只 能 在 受 限 的 安全 域内 传输 ， 以 确保 信息 不 会 通过 网 络 泄密 。 通 
过 制定 安全 策略 ， 对 于 特写 类 型 的 信息 ， 只 允许 在 指定 的 安全 域内 传输 ， 如 果 信息 的 发 
送 者 试图 向 安全 域 之 外 发 送信 息 ， 那 么 发 送 请 求 将 被 拒绝 ， 同 时 ， 这 种 破坏 安全 策略 的 
行为 将 会 被 记录 到 系统 日 志 中 。 

(2) 完善 的 认证 与 授权 体系 。 无 论 是 外 网 用 户 还 是 内 网 用 户 ， 在 访问 关键 的 业务 资 
源 时 ， 都 需要 经 过 严格 的 身份 认证 和 授权 检查 。 通 过 RADIUS 协议 ，VPN 网 关 可 以 与 各 
种 认证 服务 器 无 颖 集成 。 也 可 以 通过 LDAP 协议 ， 支 持 公 钥 证 书 来 认证 用 户 的 身份 。 这 
种 身份 的 验证 不 仅仅 是 验证 用 户 的 身份 ， 还 包括 验证 用 户 的 操作 权限 及 保密 级 别 。 

(3) 严密 的 信息 流向 审查 及 系统 行为 的 监控 。 对 于 公司 信息 网 络 系统 来 说 ， 在 保证 
业务 正常 进行 的 前 提 下 ， 确 保 信息 不 失 密 ， 同 时 要 监控 各 类 主体 〈 用 户 、 程 序 ) 对 关键 
业务 信息 的 存 取 是 至 关 重 要 的 。VPN 和 防火 墙 协作 具有 功能 强大 的 审计 系统 ， 可 以 记录 
关键 业务 主机 之 间 传 递 信息 的 流向 ， 以 及 对 关键 业务 主机 的 所 有 访问 ( 源 一、 用 户 、 时 
间 、 访问 的 服务 ), 确保 系统 的 可 审计 性 和 可 追查 性 。 在 发 生 违 反 安全 策略 的 事件 时 ， 可 
采用 多 种 方式 实时 发 出 报警 。 

(4) 通过 采用 公 钥 验证 技术 ， 确 保 网 络 连接 的 真实 性 和 完整 性 ， 包 括 在 连接 中 传输 
数据 的 机 密 性 和 完整 性 。 

(5) 在 实际 操作 中 ， 参 考 信息 网 络 系统 安全 风险 分 析 配 置 防火 墙根 据 P、 协 议 、 服 
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务 、 时 间 等 因素 具体 实施 区 域 间 边 界 访问 控制 。 

(6) 建立 网 络 安全 边界 。 在 企业 内 网 不 同 应 用 系统 接口 部 署 防火 墙 进行 访问 控制 和 
审计 ， 建 立 企业 内 网 不 同 应 用 安全 边界 。 在 企业 外 网 电信 接口 、 物 资 公司 和 职 大 医院 、 
住宅 接口 部 署 防火 墙 进行 访问 控制 和 审计 ， 建 立 企业 内 、 外 网 安全 边界 。 在 与 各 公司 接 
口 和 各 地 市 公司 当地 部 署 防火 墙 进行 访问 控制 和 审计 ， 保 障 企业 内 、 外 网 应 用 安全 。 


3.3.3 ”内 容 安全 系统 


防 病毒 系统 是 信息 系统 内 容 安 全 的 主要 安全 技术 体系 。 通 过 单机 防毒 和 网 络 整体 防 
毒 。 信 息 系统 防 病毒 系统 覆盖 到 了 每 一 个 病毒 可 能 作为 入 口 的 平台 ， 即 覆盖 了 网 关 、 客 
户 端 、 邮 件 服务 器 、 文 件 服务 器 、 应 用 服务 器 等 信息 网 络 中 的 每 个 节点 ， 从 而 达到 了 层 
层 防护 、 统 一 管理 ， 大 大 提高 了 企业 信息 系统 抗 病毒 的 能 力 。 


1， 防 病毒 系统 


(1) 网 关 型 防 病毒 。 在 公司 信息 网 与 Intemet 出 口 处 、 基 层 单位 接口 处 、 与 企业 网 
以 及 辽宁 省 党 政信 息 网 等 出 入 口 处 部 署 网 关 型 的 防 病毒 产品 ， 这 样 可 以 在 公司 信息 网 出 
入 口 处 实施 内 容 检查 和 过 滤 ， 可 以 防止 病毒 通过 SMTP、HTTP、FTP 等 方式 从 Internet 
进入 公司 信息 网 。 

此 处 是 堵 住 病毒 的 第 一 道 关 口 ， 应 部 署 采用 先进 技术 、 高 性 能 的 防 病毒 产品 。 

对 SMTP 数据 流 进行 查 、 杀 毒 ， 需 要 将 其 安装 在 防火 墙 的 后 面 ， 在 邮件 服务 器 的 前 
面 。 在 扫描 完 病毒 后 ，SMTP 网 关 型 防 病毒 服务 器 把 所 有 的 邮件 路 由 到 原始 的 邮件 服务 
器 上 ， 然 后 传递 给 邮件 用 户 。 

对 企业 网 络 性 能 影响 尽 可 能 小 。 

在 具体 配置 网 关 型 防 病毒 方案 时 ， 可 能 会 涉及 路 由 、 代 理 服务 器 以 及 SMTP 服务 器 
等 相关 配置 的 变化 ， 甚 至 是 用 户 端 配置 的 修改 。 

(2) 服务 器 型 防 病毒 。 企 业内 部 有 大 量 重 要 数据 和 应 用 ， 都 存在 信息 中 心中 央 的 数 
据 库 服务 器 以 及 相应 的 应 用 服务 器 中 。 如 果 它 们 遭受 病毒 袭击 ， 以 至 不 能 恢复 ， 对 公司 
会 造成 业务 中 断 和 重大 损失 。 对 中 央 数 据 库 服 务 器 、 邮 件 服务 器 、WWW 应 用 服务 器 以 
及 部 门 服务 器 等 重要 服务 器 配置 服务 器 型 防 病毒 产品 , 以 免 当 网 关 级 防 病毒 产品 失效 时 ， 
进一步 保护 服务 器 免 受 病毒 困扰 。 


2. 落实 对 应 的 管理 制度 和 策略 


落实 病毒 防治 管理 制度 和 策略 是 和 企业 内 的 全 体 员工 息息相关 的 ， 需 要 在 相关 管理 
部 门 的 督促 下 ， 加 强 对 防毒 系统 的 管理 ， 使 其 发 挥 最 大 功效 ， 同 时 对 全 体 员 工 进行 病毒 
危害 和 病毒 防治 的 重要 性 相关 教育 、 培 训 ， 提 高 员工 安全 意识 ， 使 广大 员工 自觉 执行 、 
落实 各 项 规章 制度 ， 才 能 最 大 程度 上 确保 企业 免 受 病毒 困扰 。 落 实 病毒 防治 管理 制度 的 
各 项 规定 。 
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3. 建立 企业 应 用 安全 支撑 平台 


应 用 安全 支撑 平台 具有 多 层次 体系 结构 ， 提 供 不 同 层次 的 开发 接口 和 可 以 直接 使 用 
的 应 用 支撑 软件 。 一 个 提供 规范 的 可 信 Web 计算 平台 ， 包 括 不 同 层次 、 不 同 级 别 的 开发 
接口 ， 及 安全 客户 端 ， 安 全 支撑 平台 提供 C/C++、Java 等 形式 的 接口 ， 具 有 强大 的 二 次 
开发 能 力 ; 提供 3 种 不 同 层次 的 接口 给 其 他 应 用 软件 及 系统 ， 可 以 根据 需要 调用 不 同 的 
接口 来 使 自己 具有 支持 PKI 的 能 力 ; 为 新 开发 的 应 用 软件 提供 底层 API 支持 ， 使 应 用 软 
件 变 成 标准 的 PKI Enabled 的 应 用 软件 。 

为 应 用 系统 提供 安全 服务 引擎 (JIT Engine) 支持 , 使 系统 软件 通过 安全 引擎 快速 地 
获得 PKI 平 台 的 支撑 ， 并 利用 引擎 的 强大 功能 ， 自 动 地 管理 用 户 的 资源 ， 进 行 数字 证 书 
的 验证 、 加 密 等 操作 ;对 各 种 应 用 操作 ， 以 Services 或 应 用 软件 的 形式 提供 多 种 安全 服 
务 , 不 同 的 应 用 子 系统 和 不 同 的 用 户 可 以 共用 这 些 服 务 , 这 样 可 以 极 大 地 减少 重复 开发 、 
降低 开发 工作 量 和 系统 投资 。 平 台 的 安全 服务 采用 XML、Web Services 等 技术 ， 对 网 络 
协议 提供 内 内 的 支持 ， 使 系统 开发 不 必 使 用 繁杂 的 API 接口 ， 就 可 以 减少 系统 开发 的 复 
杂 性 ， 提 高 了 平台 的 稳定 性 、 可 用 性 ;对 于 应 用 软件 ， 可 以 利用 高 层 的 安全 服务 接口 将 
PKI 的 应 用 委托 给 独立 安全 服务 进行 ， 利 用 现 有 的 安全 服务 包 对 系统 提供 PKI 支持。 


3.3.4 数据 元 余 备 份 和 恢复 系统 


数据 元 余 备 份 和 恢复 系统 的 建设 采用 了 数据 备份 技术 。 数 据 备 份 系统 建设 使 公司 信 
息 系统 中 所 有 重要 的 应 用 系统 实现 了 统一 的 自动 备份 和 恢复 管理 。 该 系统 包括 系统 级 备 
份 与 恢复 和 数据 级 备份 与 恢复 ; 将 存储 相关 资源 、 数 据 、 介 质 、 设 备 等 进行 了 统一 管理 。 
宛 余 和 恢复 系统 的 建设 极 大 地 提高 了 企业 信息 系统 对 故障 和 灾难 的 应 对 能 力 ， 为 保障 应 
用 系统 业务 连续 性 运作 提供 了 有 力 的 技术 条 件 。 


1， 存 储备 份 系统 设计 


按 主 与 副 数据 中 心 备份 系统 的 总 体 目标 ， 中 心 和 副 数据 中 心 采用 SAN 架构 实现 
Lan-Free 备份 方式 。 目 前 的 数据 存储 模式 基本 采用 DAS 的 结构 , 每 个 应 用 系统 服务 器 使 
用 直 连 磁盘 阵列 的 方式 ， 数 据 难于 共享 ， 备 份 复杂 ; 系统 不 宜 扩展 等 。 基 于 公司 的 实际 
情况 ， 主 与 副 数 据 中 心 备份 系统 采用 全 元 余 的 SAN 结构 。 通 过 光纤 通道 实现 100% 异 地 
数据 备份 。 

公司 广域网 数据 备份 系统 由 两 个 省 级 备份 中 心 ，12 个 区 域 备 份 中 心 (12 个 供电 公 
司 ) 构成 。 实 现 省 公司 和 13 个 市 公司 数据 的 本 地 、 异 地 备份 功能 ， 其 中 各 市 公司 重要 数 
据 在 省 公司 备份 、 省 公司 和 13 个 市 公司 100% 备 份 本 地 数据 ， 中 心 和 副 数 据 中 心 100% 
互 备 。 省 公司 和 市 公司 分 别 实现 备份 管理 及 监控 功能 。 省 公司 数据 备份 中 心 具备 集中 监 
控 、 管 理 各 市 公司 备份 系统 功能 。 

BMR 的 工作 简要 流程 如 下 (Main Server、File Server 和 Boot Server 可 合并 在 备份 服 
务 器 上 )。 
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(1) BMR 服务 器 (Main Server) 在 客户 机 日 常备 份 的 过 程 中 分 析 客户 机 的 环境 并 生 
成 恢复 策略 。 

(2) BMR 服务 器 分 配 启动 服务 器 (Boot Server) 和 文件 服务 器 (File Server)。 

(3) 当 客 户 机 数据 丢失 时 ， 系 统管 理 员 通过 网 络 启动 命令 启动 客户 机 。 

(4) BMR 服务 器 驱动 启动 服务 器 和 文件 服务 器 , 使 客户 机 自动 获得 启动 镜像 和 恢复 
计划 。 

(5) 客户 机 进一步 划分 硬盘 分 区 并 恢复 所 有 数据 。 


2. 操作 系统 及 应 用 程序 备份 /恢复 


核心 操作 系统 (core OS) 由 主机 系统 管理 员 定期 进行 人 工 备 份 。 对 于 系统 中 不 同 
UNIX 操作 系统 环境 ， 可 以 通过 Bare Metal Restore 功能 ， 来 简化 服务 器 的 恢复 过 程 ， 以 
完成 系统 的 快速 灾难 恢复 。 这 样 ， 当 系统 数据 完全 丢失 时 ， 系 统管 理 员 仅 仅 通过 一 个 启 
动 命令 就 可 以 进行 系统 数据 的 完整 恢复 ， 不 必 进 行 通 过 光盘 进行 操作 系统 重新 安装 ， 硬 
盘 重 新 分 区 ， 卫 地 址 重新 设置 ， 以 及 备份 软件 重新 安装 等 复杂 的 步骤 。 

文件 系统 由 存储 集中 管理 系统 进行 自动 备份 。 轮 流 使 用 三 组 磁带 ， 每 组 磁带 包括 两 
套 相 同 的 备份 。 每 月 的 第 一 个 星期 天 午夜 进行 完全 备份 ， 用 两 套 磁带 作 镜像 。 其 中 第 1 
套 备份 保留 在 本 地 磁带 库 中 ， 第 2 套 通过 磁带 复制 保留 在 备份 机 房 。 


3. 数据 库 备份 /恢复 


DB 的 备份 采用 完全 备份 和 增 量 备份 相 结 合 的 方式 ， 每 周 为 一 个 周期 ， 使 用 两 组 磁 
带 ， 分 别 用 于 完全 备份 和 增 量 备 份 。 每 组 磁带 包含 两 份 同样 的 备份 。 不 采取 磁带 镜像 ， 
而 是 在 备份 的 次 日 进行 磁带 备份 ， 以 防止 完全 备份 时 DB 失败 而 无 法 恢复 。 第 二 份 备份 
在 复制 后 ， 保 存 远程 的 磁带 库 中 。 

DB 工作 在 非 归档 模式 下 ，DB 只 能 恢复 到 某 次 备份 时 的 状态 。 恢 复方 法 为 在 存 
储 集中 管理 系统 上 进行 设 定 ， 完 成 自动 恢复 。 


3.3.5 ”审计 和 响应 系统 


根据 信息 安全 技术 体系 的 规划 ， 公 司 采 用 了 入 侵 检 测 系统 (IDS) 和 漏洞 扫描 技术 
来 构建 审计 与 响应 系统 。 通 过 采用 入 侵 检测 系统 〈IDS) 和 漏洞 扫描 系统 ， 以 及 相应 的 
管理 、 操 作 和 运 维 的 规章 制度 ， 信 息 系统 对 信息 安全 事件 的 预防 、 发 现 、 响 应 、 处 理 与 
事件 取证 能 力 得 到 了 有 效 的 提高 。 


1. 人 入侵 检 测 系统 (IDS) 设计 


针对 公司 信息 系统 子 网 众多 ， 分 布 密集 的 特点 ， 采 用 分 布 式 、 集 中 管理 的 入 侵 检测 
系统 ， 以 便 适 应 不 同 的 网 络 环境 和 减少 管理 维护 的 消耗 。 入 侵 检测 系统 (IDS〉 部 署 的 
要 点 如 下 。 

(1) 关键 网 段 中 部 署 网 络 入 侵 检 测 系统 (NIDS) 探测 器 。 
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(2) 关键 服务 器 上 部 署 主机 入 侵 检测 系统 (HIDS) 探测 器 。 

(3) 根据 需要 ， 在 不 同 的 网 络 环境 中 ， 联 合 使 用 网 络 和 主机 入 侵 检测 系统 (IDS) 
探测 器 。 

(4) 对 入 侵 检测 系统 (IDS) 探测 器 进行 集中 管理 。 

2. 漏洞 检测 系统 的 设计 


公司 信息 系统 由 大 量 的 网 络 和 主机 设备 构成 ， 相 互 间 是 高 信任 和 低 机 密 性 的 关系 ， 
容易 产生 一 台 主 机 被 攻破 而 导致 整个 网 络 被 攻破 的 情况 ， 任 何 一 点 的 安全 漏洞 都 将 是 整 
个 信息 系统 的 安全 隐患 。 建 议 采 用 漏洞 扫描 工具 对 网 络 和 主机 上 的 漏洞 检测 ， 及 时 修补 
安全 漏洞 。 扫 描 工具 的 部 署 要 点 如 下 。 

(1) 对 关键 主机 采用 网 络 和 主机 扫描 工具 进行 定期 的 漏洞 检测 。 

(2) 对 数据 库 系统 采用 数据 库 扫 描 工 具 进 行 定 期 的 漏洞 检测 。 

(3) 采用 网 络 扫 描 工 具 对 网 络 设 备 进行 定期 的 漏洞 检测 。 

(4) 对 扫描 工具 进行 定期 的 升级 与 维护 ， 保 证 漏洞 库 的 及 时 更 新 。 


3. 实施 审计 与 响应 系统 主要 完成 以 下 工作 


(1) 对 审计 与 响应 系统 功能 和 能 力 需 求 的 准确 、 合 理 定位 。 至少 需 要 考虑 如 下 因素 。 

@ 信息 系统 的 现状 ， 包 括 系统 配置 和 网 络 划分 等 。 

@ 可 利用 的 资源 条 件 ， 如 网 络 信道 条 件 、 机 房 条 件 等 。 

@ 根据 公司 相关 情况 确定 对 于 信息 系统 中 相关 应 用 中 断 、 延 迟 时 限 ， 以 及 对 系统 
性 能 损失 的 容忍 程度 等 的 要 求 。 

@ 明确 审计 与 响应 系统 功能 和 能 力 需求 的 具体 定位 。 

(2) 根据 功能 和 需求 定位 进行 方案 的 比较 和 选择 。 

Q@ 在 选择 技术 方案 时 应 充分 考虑 系统 现状 以 及 系统 的 远 期 规划 ， 尽 量 减 少 对 现 有 
系统 的 影响 范围 和 程度 。 

@ 尽量 避免 在 方案 中 对 某 个 厂家 设备 /系统 的 依赖 性 。 

@ 研究 具体 技术 方案 在 辽宁 电力 有 限 公司 实施 的 可 行 性 《统一 管理 )。 

@ 明确 具体 方案 的 实施 对 象 〈 即 针对 的 具体 网 段 和 主机 )。 

(3) 提出 审计 与 响应 系统 的 相关 配置 要 求 和 配套 条 件 要 求 如 下 。 

@ 需 新 增 的 软 、 硬 件 设备 配置 ， 包 括 对 现 有 系统 相关 配置 的 变更 。 

@ 明确 对 于 审计 与 响应 系统 所 需要 的 网 络 通信 条 件 的 要 求 。 

@ 明确 对 于 相关 规章 制度 、 操 作 流程 等 管理 规范 的 要 求 。 


4. 系统 管理 

建立 审计 与 响应 系统 后 ， 实 现 对 审计 与 响应 系统 ， 主 机 系统 、 网 络 通信 等 的 运行 情 
况 的 实时 监测 是 非常 必要 的 ， 当 监测 并 确认 到 主 用 中 心 系 统 失效 时 ， 才 可 作出 启用 审计 
系统 、 系 统 接 管 等 决定 ， 并 执行 相应 的 流程 操作 。 

系统 管理 中 配置 信息 安全 事件 响应 辅助 工具 如 下 。 
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(1) 审计 与 响应 策略 决策 系统 : 审计 策略 决策 系统 应 以 风险 及 损失 分 析 为 基础 ， 同 
时 考虑 成 本 、 响 应 速度 、 防 灾 种 类 、 数 据 的 完整 性 等 因素 ， 通 过 科学 的 分 析 及 决策 方法 
来 确定 应 采用 的 审计 策略 。 

(2) 信息 安全 事件 响应 指引 系统 : 通过 将 相应 的 信息 安全 事件 响应 处 理 流程 编 成 相 
应 的 在 线 指引 性 软件 系统 ， 在 信息 安全 事件 发 生 后 指导 管理 维护 人 员 如 何 一 步 一 步 地 依 
照 设 定好 的 步骤 ， 准 备 相 应 的 资源 ， 执 行 相应 的 操作 ， 从 而 准确 地 进行 信息 安全 事件 响 
应 。 信 息 安全 事件 发 生 后 的 响应 工作 是 一 项 复杂 的 系统 工作 ， 不 是 仅 凭 经 验 就 可 以 做 好 
的 ， 响 应 工作 必须 依照 严格 的 操作 指南 来 完成 ， 以 保证 整个 系统 响应 工作 的 有 序 进行 。 

(3) 自动 运行 管理 系统 : 运行 自动 化 是 指 通过 软 、 硬 件 等 措施 ， 实 现 主 用 系统 及 审 
计 系 统 的 全 部 或 部 分 自动 操作 。 这 样 既 可 减少 人 员 的 投入 ， 又 可 减少 由 于 人 为 失误 而 带 
来 的 损失 ， 从 而 提高 整个 系统 的 安全 性 与 可 靠 性 。 


3.4 网 络 信息 安全 工程 应 用 实例 


本 节 介 绍 按照 辽宁 电力 网 络 信息 安全 系统 总 体 框 架 、 网 络 信息 安全 管理 体系 及 技术 
体系 组 织 网 络 信息 安全 工程 建设 与 应 用 情况 。 


3.4.1 项 目 综述 


辽宁 电力 系统 信息 安全 应 用 示范 工程 是 科技 部 “十 五 ”期 间 信息 安全 领域 重点 科技 
攻关 项 目 。 工 程 按照 国家 信息 安全 工作 的 总 体 要 求 ， 积 极 吸收 国内 外 信息 安全 领域 的 先 
进 思想 ， 在 辽宁 省 电力 公司 信息 系统 范围 内 ， 应 用 国内 外 成 熟 的 信息 安全 技术 及 产品 ， 
开发 并 且 实 施 辽 宁 电力 信息 系统 安全 保障 的 总 体 框架 、 技 术 体 系 、 管理 体系 、 评估 体 系 ， 
发 挥 行业 的 示范 作用 ， 指 导电 力行 业 信息 安全 建设 工作 ， 落 实 国家 信息 安全 战略 。 完 成 
国家 电网 公司 下 达 的 电力 系统 信息 安全 示范 工程 有 关 工 作 ; 推动 国家 电网 公司 信息 安全 
工作 的 迅速 开展 ， 避 免 重 复 开 发 所 造成 的 资金 浪费 。 为 电力 系统 全 面 实施 安全 战略 提供 
科学 依据 和 实践 经 验 ， 指 导电 力 企 业 信息 安全 的 建设 。 

近年 来 , 辽宁 电网 信息 化 建设 投入 了 大 量 资金 , 计算 机 及 信息 网 络 系统 在 电力 生产 、 
建设 、 经 营 、 管 理 、 科 研 、 设 计 等 各 个 领域 有 着 十 分 广泛 的 应 用 ， 尤 其 在 电网 调度 自动 
化 、 厂 站 自动 控制 、 管 理 信 息 系统 、 电 力 负荷 管理 、 计 算 机 辅助 设计 、 科 学 计算 以 及 教 
育 培训 等 方面 取得 了 较 好 的 效果 ， 在 安全 生产 、 节 能 降 耗 、 降 低 成 本 、 缩 短工 期 、 提 高 
劳动 生产 率 等 方面 取得 了 明显 的 社会 效益 和 经 济 效益 ， 同 时 也 逐步 健全 和 完善 了 信息 化 
管理 机 构 ， 培 养 和 建立 了 一 支 强 有 力 的 技术 队伍 ， 有 力促 进 了 电力 工业 的 发 展 。 


3.4.2 项 目 实施 前 的 信息 网 络 及 安全 状况 


截止 到 2000 年 12 月 ， 辽 宁 电 力 信息 主干 网 为 千 兆 以 太 网 ， 信 息 点 设置 为 2400 多 
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个 。 网 络 中 心 以 两 台 SmartSwitchRoute8600 交换 式 路 由 器 为 核心 交换 机 ， 省 公司 机 关 大 
楼 每 三 层 设 置 一 台 背 板式 DECHUB 900 MultiSwitch 交换 机 。 辽 宁 电 力 信息 广域网 2M 以 
上 连接 38 个 单位 。 其 中 ，1000M 连接 国电 东北 公司 、 南 胡 大 酒 店 等 8 个 单位 ，100M 连 
接 辽 宁 电力 科学 研究 院 等 5 个 单位 ;2M 连接 吉林 、 黑 龙 江 省 公司 、 辽 宁 省 公司 所 属 13 
个 供电 公司 、7 个 发 电厂 和 3 个 其 他 单位 ， 共 25 个 单位 。 通 过 中 国电 信和 吉 通 公司 的 中 
国 金桥 网 (ChinaGBN) 接 入 国际 互联 网 ， 是 国电 东北 公司 、 吉 林 、 黑 龙 江 省 电力 有 限 公 
司 及 辽宁 省 电力 有 限 公 司 所 属 单位 连接 国家 电力 中 心 的 枢纽 , 提供 域名 服务 、 打印 服 务 、 
目录 服务 、 文 件 服务 等 十 多 种 服务 。 辽 宁 电力 信息 网 建立 了 统一 的 广域网 防 病毒 体系 并 
为 基层 各 单位 配备 了 安全 漏洞 检测 系统 ， 为 省 公司 建立 了 数据 备份 系统 等 。 


3.4.3 项 目 实施 后 的 信息 网 络 及 安全 状况 


项 目 实施 后 ， 辽 宁 电 力 信息 网 城 域 网 连接 在 沈 16 个 局 域 网 ， 广 域 网 连接 42 个 局 域 
网 ， 主 干 网 络 连接 13 个 住宅 小 区 。 其 中 13 个 供电 公司 连接 速率 为 622M、155M、34M， 
中 心 采用 一 台 CISCO7609 路 由 器 ，13 个 供电 公司 采用 CISCO7204 路 由 器 。 

省 公司 主干 网 采用 星 形 结构 ， 传 输 介质 为 光纤 ， 网 络 主干 速率 为 2G， 主干 与 其 他 单 
位 相连 采用 1000M 专线 、155M 专线 、100M 专线 、2M 专线 相 结 合 的 方式 , 信息 点 3400 
个 。 网 络 中 心 以 三 台 Smart Switch Route 8600 交换 式 路 由 器 为 核心 交换 机 ， 连 接 省 公司 
机 关 大 楼 ， 每 三 层 设置 一 台 ELS-100 楼 层 交 换 机 ;省 公司 主干 网 共 25 台 服 务 器 ， 其 中 
中 央 服 务 器 、 办 公 自 动 化 服务 器 、 生 产 数据 库 服 务 器 、Intranet 服务 器 通过 1000M 多 膜 
光纤 直接 连接 在 SSR 8600 中 央 交 换 机 上 , 部 门 服务 器 等 多 种 服务 器 通过 100M 多 膜 光 纤 
直接 连接 在 SSR 8600 中 央 交 换 机 上 。 

辽宁 电力 信息 网 主干 网 上 运行 的 应 用 系统 和 程序 共 140 个 ， 主 要 应 用 系统 在 原 有 基 
础 上 进行 了 不 断 完善 ， 并 新 增 了 省 公司 统一 管理 的 数据 备份 中 心 、 基 层 单位 数据 备份 系 
统 、PKI 一 CA 认证 应 用 系统 ， 统 一 管理 的 省 公司 及 13 个 供电 公司 的 防火 墙 系统 ， 网 络 
信息 安全 监视 及 管理 平台 。 全 省 统一 配置 了 Oracle 数据 仓库 、 数 据 库 、BEA 的 中 间 件 、 
IBM Tivoli 网 络 管理 系统 等 工具 。 


3.4.4 项 目 实施 历程 


1. 调研 分 析 和 方案 论证 


受 国家 电力 公司 委托 ， 辽 宁 省 电力 有 限 公 司 于 2000 年 8 月 开始 “国家 电力 公司 信 
息 安 全 示范 工程 ”项 目前 期 准备 工作 。 省 公司 领导 对 此 十 分 重视 ， 专 门 成 立 了 信息 安全 
示范 工程 项 目 领导 小 组 ， 指 定 专人 负责 ， 各 有 关 业 务 部 门派 专人 参加 配合 工作 。 

2000 年 8 月 10 日 将 辽宁 电力 系统 信息 网 络 系统 情况 材料 上 报国 家 电力 公司 科 环 部 。 

2000 年 8 月 25 日 ， 参 加 了 科 环 部 组 织 的 可 行 性 研讨 会 。 根 据 讨 论 情况 ， 我 们 有 针 
对 性 地 进行 了 调研 工作 ， 先 后 与 中 国电 科 院 、 哈 尔 滨 工业 大 学 、 北 京东 华 诚 信 公司 、IEI 
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公司 、 北 京 外 企 此 垣 网 络 安全 技术 有 限 公司 、 瞻 天 软件 有 限 公司 、 北 京 赛 门 铁 克 信息 技 
术 有 限 公 司 和 CA 中 国有 限 公司 就 信息 安全 问题 进行 了 深入 探讨 ， 在 充分 了 解 了 国内 外 
信息 安全 目前 所 采用 的 技术 、 产 品 的 基础 上 ，2001 年 2 月 完成 了 项 目 可 行 性 研究 报告 ， 
并 于 2 月 20 日 通过 了 国家 电力 公司 组 织 的 评审 。2001 年 6 月 与 国家 电网 公司 签订 “ 国 
家 电力 公司 信息 安全 示范 工程 一 一 辽宁 电力 系统 信息 安全 示范 工程 ”合同 。 

2002 年 4 月 1 日 ,国家 电力 公司 在 北京 召开 了 国家 电力 信息 安全 技术 研讨 会 。 电 力 
系统 信息 安全 示范 工程 专家 组 成 员 和 信息 安全 应 用 示范 工程 项 目的 有 关 单 位 技术 人 员 讨 
论 了 “电力 系统 信息 安全 示范 工程 ”可 行 性 报告 中 的 “项 目 主要 研究 内 容 、 关 键 技术 及 
实施 技术 路 线 ”。 最 后 确定 主要 研究 内 容 如 下 。 

(1) 电力 信息 系统 安全 工程 总 体 框架 。 

(2) 电力 信息 系统 安全 策略 。 

(3) 电力 信息 系统 安全 技术 体系 。 

(4) 电力 信息 系统 安全 管理 体系 。 

(5) 安全 技术 与 产品 在 电力 系统 的 应 用 与 评测 体系 。 

关键 技术 及 创新 点 如 下 。 

该 项 目的 技术 创新 在 于 将 PKI 的 信任 与 授权 服务 技术 、 网 络 信任 域 技术 与 电力 信息 
系统 的 具体 业务 相 结合 ， 为 电力 企业 内 部 的 生产 经 营 管理 和 服务 于 社会 大 众 的 信息 系统 
提供 统一 的 信息 安全 保障 ， 形 成 有 电力 特色 的 信息 安全 保障 体系 。 

项 目 实施 的 技术 路 线 如 下 。 

(1) 系统 级 的 网 络 安全 设计 。 

(2) 采用 信任 与 授权 机 制 ， 实 现 信息 资源 、 用 户 、 应 用 的 高 强度 的 安全 保障 。 

(3) 统一 的 安全 管理 。 

(4) 用 户 定制 的 授权 管理 。 

(5) 自主 知识 产权 安全 产品 的 应 用 。 

2002 年 10 月 ， 省 公司 与 中 国电 力 科学 研究 院 、 哈 尔 滨 工业 大 学 等 合作 ， 辽 宁 电力 
系统 进行 了 信息 安全 评估 。 通 过 评估 ， 首 先 了 解 了 辽宁 电力 信息 系统 安全 现状 和 存在 的 
各 种 安全 风险 ， 发 现 与 安全 目标 之 间 的 差距 ; 其 次 对 现 有 企业 信息 安全 策略 进行 动态 调 
整 、 修 订 和 完善 ， 丰 富 企业 信息 系统 安全 策略 ， 第 三 ， 发 现 企业 中 存在 的 比较 迫切 的 安 
全 需求 根据 评估 的 结果 有 针对 性 地 修改 完善 了 “辽宁 电力 系统 信息 安全 实施 方案 ”。2003 
年 2 月 26 日 ， 该 方案 通过 了 国家 密码 办 管理 委员 会 办 公 室 在 北京 组 织 的 评审 。 

按 评审 会 上 专家 提出 的 建议 ， 我 们 对 实施 方案 又 做 了 进一步 完善 ， 主 要 开展 了 以 下 
工作 。 

为 保证 辽宁 电力 系统 信息 安全 防火 墙 产品 的 正确 选择 ,7 月 21 日 至 8 月 3 日 , 省 公 
司 和 电 科 院 信息 安全 项 目 组 有 关 人 员 在 国家 电力 科学 研究 院 对 天 元 龙马 、 清 华 实德 、 天 
融 信 、 东 软 和 联想 这 5 家 国内 知名 品牌 的 国产 防火 墙 产 品 进行 了 技术 功能 和 技术 性 的 测 
试 。 经 过 测试 ， 对 各 家 防火 墙 产品 的 功能 和 性 能 有 了 全 面 的 了 解 ， 为 省 公司 防火 墙 产品 
的 合理 选 型 ， 保 证 今后 防火 墙 产 品 在 省 公司 的 有 效应 用 黄 定 了 基础 。 

7 月 22 日 在 北京 参加 国家 电网 公司 组 织 召 开 的 CA 研讨 会 , 初步 制定 了 证 书 格式 规 
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范 ,考察 了 中 国 金 融 认 证 中 心 (CFCA), 全 面 了 解 了 CFCA 的 体系 结构 、 采 用 的 技术 标 
准 、 安 全 保障 机 制 和 证 书 的 应 用 等 情况 。 根据 省 公司 证 书 应 用 的 实际 需求 , 参考 了 CFCA 
的 有 关 应 用 经 验 ， 我 们 编制 了 PKICA 测试 大 纲 ，7 月 23 日 和 8 月 1 日 我 们 对 北京 格 方 
网 络 技术 有 限 公 司 和 吉大 正 元 网 络 技 术 有 限 公 司 的 PKI-CAX 系统 进行 了 测试 ， 两 家 的 
产品 均 能 满足 我 们 的 需求 。 

在 防 “ 非 典 ” 期 间 ， 省 公司 办 公 楼 禁止 外 来 人 员 进入 ， 在 一 定 程度 上 影响 了 我 们 与 
各 公司 的 直接 交流 。 为 保证 信息 安全 工程 按时 完成 ， 我 们 通过 Email、 电 话 和 传真 等 通 
信 工 具 一 直 与 各 公司 保持 联系 ， 同 时 委托 国家 电力 科学 研究 院 的 项 目 组 成 员 在 北京 与 有 
关公 司 进行 技术 交流 ， 细 化 方案 ， 降 低 了 “非典 ”对 工程 工期 的 影响 。 


2. 项 目 实施 


(1) 2002 年 2 月 省 公司 与 国家 电力 公司 签 定 了 “国家 电力 系统 信息 安全 示范 工程 ” 
项 目 合同 ， 科 技 部 2002 年 250 号 文 下 达 了 “电力 系统 信息 应 用 示范 工程 ”项 目 。 

(2) 按 科技 部 和 国家 电力 公司 信息 安全 示范 工程 的 有 关 要 求 和 统一 部 署 ， 省 公司 开 
展 了 信息 网 络 系统 结构 优化 调整 工程 ,在 Internet 和 住宅 小 区 的 网 关 处 更 换 2 台 防 火 墙 ， 
用 于 保护 应 用 系统 和 网 络 的 安全 ; 新 增 一 套 均衡 负载 交换 机 ， 能 够 充分 利用 接 入 Internet 
的 4 条 线路 :新 增 了 一 个 容量 为 900GB 的 存储 系统 来 完善 数据 的 存储 ; 一 台 Cisco7609 
路 由 器 , 广域网 中 13 个 供电 公司 的 Cisco 2509 路 由 器 更 新 为 Cisco 7204, 为 广域网 VPN 
应 用 创造 了 条 件 。 上 述 设 备 已 全 部 安装 调试 完 ， 正 式 投入 运行 。 

(3) 在 网 络 系统 结构 优化 调整 的 同时 ， 进 行 了 应 用 系统 平台 的 优化 调整 。 新 增 2 台 
SUNF3800 服务 器 , 采用 双 机 集群 技术 , 用 于 辽宁 电力 信息 网 Intranet 网 络 安全 管理 平台 
和 应 用 服务 等 功能 ，2 台 IBM M85 服务 器 ， 采 用 双 机 集群 技术 ， 用 于 完善 办 公 自 动 化 
系统 ， 对 原 有 应 用 系统 进行 升级 ， 建 立 了 集中 的 统一 用 户 管理 系统 ， 为 现 有 的 和 将 来 的 
应 用 系统 提供 用 户 认证 服务 ， 通 过 安全 的 委托 管理 机 制 ， 实 现 统一 用 户 的 分 级 管理 ， 建 
立 了 集中 、 统 一 管理 的 DNS 系统 ,使 管理 简单 化 ; 建立 了 统一 的 邮件 平台 ,在 为 本 地 用 
户 提 供 邮 件 服务 的 同时 , 能 够 为 基层 单位 提供 邮件 服务 ; 通过 对 代理 系统 的 升级 和 设置 ， 
能 够 对 用 户 的 所 有 访问 进行 控制 。 

(4) 按 省 公司 信息 化 有 关 工 程 的 进度 要 求 ， 我 们 在 2003 年 8 月 初 进行 了 信息 化 有 
关 项 目的 招标 准备 工作 ， 编 制 招标 方案 和 技术 规范 ， 同 时 与 有 关 厂 商 进一步 细 化 技术 方 
案 ，8 月 9 日 招标 文件 全 部 完成 。 招 标 工作 由 东北 电力 集团 成 套 设备 有 限 公 司 组 织 。 

2003 年 8 月 18 日 , 在 沈阳 天 都 饭店 召开 了 “辽宁 省 电力 有 限 公司 2003 年 信息 化 建 
设 工程 ” 评 标 会 议 。 

2003 年 8 月 18 日 至 8 月 21 日, 评 标 组 对 10 个 标 段 的 41 份 投标 文件 进行 详细 审查 、 
答疑 ， 最 后 确定 了 10 个 预 中 标 单 位 。 

信息 安全 项 目 预 中 标 单 位 分 别 是 .吉大 正 元 信息 技术 股份 有 限 公司 (PKI-CA); 东 
软 软件 公司 〈 防 火 墙 ); 北京 东 华 合 创 数 码 科技 有 限 公 司 〈 省 公司 数据 备份 中 心 ); 辽宁 
傲 联通 科技 发 展 有 限 公司 〈 基 层 数据 备份 系统 )。 

(5) 定 标 决 议 下 达 后 ， 信 息 中 心 组 织 有 关 厂 商 制定 详细 的 实施 方案 ，2003 年 9 月 底 
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签订 合同 ， 所 有 工程 项 目 按 计 划 进 行 。 
(6) 2003 年 11 月 中 旬 开 始 ， 信 息 安全 示范 工程 签订 的 PKI-CA、 防 火 墙 、 数 据 备 
份 等 合同 的 所 有 设备 已 到 货 ， 各 系统 集成 商 开始 安装 调试 。 


3.4.5 项 目 实施 取得 的 主要 成 果 


1. 建立 了 电力 系统 信息 安全 保障 的 总 体 框架 


辽宁 电力 系统 信息 安全 保障 的 总 体 框架 ， 是 以 信息 安全 总 方针 为 指导 核心 ， 以 标准 
化 信息 系统 安全 工程 理论 与 方法 为 指导 ， 全 面 实施 信息 安全 管理 体系 和 技术 体系 ， 保 持 
信息 系统 安全 水 平 并 持续 改进 。 该 框架 由 相互 关联 的 4 个 相关 体系 组 成 : 信息 安全 总 方 
针 、 信 息 安全 管理 体系 、 信 息 安全 技术 体系 和 信息 安全 工程 模型 。 

(1) 信息 安全 总 方针 包括 信息 安全 目标 、 信 息 安全 理念 、 信 息 安 全 模型 和 信息 安全 
策略 。 

(2) 信息 安全 管理 体系 包括 信息 安全 策略 、 信 息 安全 组 织 建 设 、 信 息 安全 运行 管理 。 

(3) 信息 安全 技术 体系 包括 鉴别 与 认证 、 访 问 控制 、 内 容 安 全 、 宛 余 和 恢复 、 审 计 
与 响应 5 个 方面 。 

(4) 信息 安全 工程 模型 ， 是 在 对 系统 安全 工程 能 力 成 熟 度 模型 《SSE-CMM) 进行 
全 面 研 究 的 基础 上 提出 的 ， 把 一 个 信息 安全 工程 分 为 风险 过 程 、 工 程 过 程 和 保证 过 程 ， 
这 三 个 过 程 是 相互 关联 、 相 互 作 用 的 。 信 息 安 全 工程 过 程 就 是 这 3 部 分 重复 和 循环 的 
过 程 。 

制定 了 《辽宁 电力 有 限 公 司 信息 安全 方针 》、《 辽 宁 省 电力 有 限 公司 Windows 2000 
安全 配置 标准 》、《 辽 宁 省 电力 有 限 公 司 病 毒 防治 管理 规定 》 和 《辽宁 省 电力 有 限 公司 网 
络 设备 安全 管理 规定 》 等 11 个 安全 策略 。 


2. 建立 了 信息 安全 管理 体系 


信息 安全 管理 体系 是 信息 安全 体系 建设 的 关键 ， 辽 宁 电 力 系统 的 信息 安全 管理 体系 
是 在 信息 安全 风险 评估 基础 上 制定 的 。 体 系 结构 包括 信息 安全 策略 、 信 息 安 全 组 织 建设 、 
信息 安全 运行 管理 3 个 方面 。 

信息 安全 策略 由 信息 安全 总 方针 、 技 术 标准 和 规范 、 管 理 制度 和 规定 、 组 织 机 构 和 
人 员 职 责 、 操 作 流程 等 构成 。 把 信息 安全 相关 的 制度 和 内 容 通过 文件 的 形式 确定 下 来 ， 
在 省 公司 系统 内 发 布 并 执行 ， 并 定期 审查 和 不 断 进行 修改 、 调 整 和 完善 ， 以 便 适 应 安全 
形式 的 发 展 。《 操 作 系统 安全 配置 标准 人 《防火 墙 安全 标准 》 和 《信息 系统 主机 加 固 安全 
管理 制度 》 等 一 系列 安全 策略 已 在 省 公司 系统 内 执行 。 

在 信息 安全 组 织 建 设 方面 ， 设 立 了 相应 的 组 织 管理 机 构 ， 由 专人 负责 信息 安全 项 目 
的 管理 、 组 织 实施 工作 ， 有 效 地 推动 了 信息 安全 工作 的 进展 。 保 证 信息 安全 项 目的 顺利 
实施 。 

在 信息 安全 管理 策略 的 指导 下 ， 配 合 信息 安全 技术 手段 ， 系 统 开 展 了 信息 安全 运行 
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管理 工作 ， 包 括 日 党 维护， 风险 评估 以 及 事件 处 理 等 内 容 。 
3. 建立 了 信息 安全 技术 体系 


辽宁 电力 系统 信息 安全 技术 体系 包括 鉴别 与 认证 、 访 问 控制 、 内 容 安全 、 元 余 和 恢 
复 、 审 计 与 响应 5 个 方面 。 

(1) 鉴别 与 认证 主要 解决 主体 的 信用 问题 和 客体 的 信任 问题 。 采 用 PKICA 技术 ， 
用 基于 “数字 证 书 ” 的 认证 机 制 代替 现在 “用 户 名 + 口令 ”的 认证 机 制 。 

〈2) 访问 控制 技术 主要 是 在 网 络 的 边界 处 等 关键 位 置 通过 配置 适当 的 控制 规则 /策略 
来 限制 用 户 对 信息 资源 的 访问 。 通 过 省 公司 和 13 个 供电 公司 统一 的 层次 化 的 防火 墙 防护 
体系 ， 实 现 对 信息 资源 的 访问 控制 ， 同 时 应 用 主机 加 固 系统 ， 增 强 主机 系统 的 访问 控制 
能 力 。 

(3) 内 容 安全 主要 是 直接 保护 在 系统 中 传输 和 存储 的 数据 等 内 容 。 利 用 省 公司 统一 
部 署 的 全 方位 、 多 层次 病毒 防护 体系 ， 控 制 病毒 在 网 络 中 的 传输 ， 保 证 数据 传输 和 存储 
安全 性 ; 采用 VPN 技术 , 保证 了 关键 业务 数据 传输 的 保密 性 、 真 实 性 与 完整 性 ; 建立 了 
省 公司 和 13 个 供电 公司 的 数据 备份 系统 ， 保 证 数据 的 可 用 性 。 

(4) 宛 余 和 恢复 主要 是 在 异常 情况 发 生前 所 作 的 准备 和 发 生 后 所 采取 的 措施 。 在 局 
域 网 核心 层 和 接 入 层 元 余 设 计 ， 在 省 公司 13 个 供电 公司 统一 建立 了 数据 备份 系统 。 

(5) 审计 是 对 主 业务 进行 记录 、 检 查 、 监 控 ， 响 应 完成 的 是 对 网 络 安全 问题 的 实时 
检测 、 告 警 和 处 理 。 采 用 了 漏洞 扫描 工具 和 入 侵 检测 。 


4. 组 织 实施 了 信息 安全 风险 评估 


电力 系统 内 第 一 次 在 全 面 深 入 研究 信息 安全 风险 评估 的 理论 及 方法 基础 上 ， 结 合 电 
力 系 统 信息 安全 特色 , 依靠 项 目 中 培养 的 技术 力量 , 成 功 组 织 了 省 公司 范围 的 风险 评估 ， 
初步 形成 国家 电网 公司 信息 安全 风险 评估 相关 规范 。 

在 充分 借鉴 相关 国际 标准 : ISO17799、ISO13335、ISO15408，SSE_CMM 以 及 美 
国 NISTSP800 系列 等 基础 上 , 结合 电力 行业 业务 特色 , 提出 了 辽宁 电力 信息 安全 风险 评 
估 模 型 ， 制 定 了 辽宁 电力 信息 安全 风险 评估 规范 ， 成 功 组 织 完成 了 对 辽宁 电力 现 有 信息 
系统 的 风险 评估 。 

评估 体系 覆盖 了 信息 系统 的 技术 、 管 理 、 人 员 以 及 工程 实施 等 方面 ， 提 出 了 综合 
述 多 种 因素 的 量化 的 风险 计算 模型 与 评价 方法 ， 人 全面、 客观 、 深 入 地 识别 了 系统 面临 的 
风险 ， 制 定 了 合理 可 行 的 风险 控制 方案 ， 指 导 下 阶段 安全 技术 体系 与 管理 体系 的 建设 。 

结合 评估 工作 ,形成 了 一 套 电力 系统 行 之 有 效 的 安全 评估 理论 、 方法 与 流程 、 规 范 ， 
及 实用 化 的 评估 工具 。 

通过 示范 工程 中 安全 评估 工作 的 实践 ， 国 网 公司 将 安全 评估 纳入 企业 安全 生产 评价 
体系 中 ， 作 为 信息 系统 安全 管理 基础 工作 开展 ， 将 评估 工作 规范 化 、 制 度 化 。 


5. 建立 了 电力 系统 信息 安全 实验 室 
初步 建立 了 电力 系统 第 一 个 信息 安全 实验 室 ， 其 实验 室 技 术 条 件 与 技术 队伍 在 电力 
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行业 内 领先 ， 具 备 持续 承担 电力 系统 信息 安全 领域 的 科研 任务 与 技术 服务 工作 的 能 力 。 

在 信息 安全 示范 工程 实施 过 程 中 ， 利 用 实验 室 先 进 的 技术 条 件 和 技术 队伍 ， 深 入 研 
究 了 信息 安全 核心 技术 、 信 息 安全 工程 理论 、 信 息 安全 攻防 手段 、 信 息 安 全 检测 与 评估 
手段 。 成 功 完成 了 示范 工程 中 防火 墙 、IDS 产品 的 选 型 评测 ， 完 成 了 辽宁 电力 信息 安全 
评估 ， 并 且 初 步 形成 了 电力 企业 信息 安全 风险 评估 实施 规范 、 电 力 信息 系统 防火 墙 选 型 
评测 规范 《试行 )， 电 力 信息 系统 IDS 选 型 评测 规范 《试行 )， 为 安全 产品 的 合理 选 型 提 
供 了 科学 的 依据 。 

实验 室 测试 环境 能 模拟 多 种 网 络 环境 ， 能 够 提供 受 控 的 、 可 重复 的 测试 条 件 ， 能 够 
将 完成 测试 任务 所 需 的 时 间 及 其 他 资源 的 投入 控制 在 合理 的 范围 内 ， 提 供 的 评测 结果 客 
观 、 正 确 、 可 靠 。 可 模拟 仿真 事故 ， 做 好 应 急 措施 和 紧急 恢复 方案 。 

利用 实验 室 先进 的 技术 条 件 和 技术 队伍 ， 对 技术 人 员 进 行 了 安全 培训 。 

辽宁 省 电力 有 限 公司 与 微软 (中 国 ) 有 限 公 司 合作 , 建立 了 一 整套 基于 .NET 架构 的 
企业 级 应 用 测试 环境 ， 并 将 提供 企业 级 各 类 应 用 的 测试 和 实验 平台 。 

.NET 是 微软 所 倡导 的 业界 标准 ， 它 以 工业 标准 和 Intemet 标准 为 基础 ， 为 开发 〈 工 
具 )、 管 理 〈 服 务 器 )、 使 用 《建立 社区 服务 以 及 智能 的 客户 端 程序 ) 以 及 体验 〈 丰 富 的 
用 户 体验 )XML Web 服务 的 各 个 方面 提供 支持 , 从 而 成 为 企业 构建 信息 架构 的 最 佳 平台 。 


6. 建立 了 辽宁 电力 系统 PKI-CA 认证 中 心 


初步 建立 了 辽宁 电力 系统 统一 的 认证 与 授权 机 制 、 统 一 的 时 间 服 务 ， 确 保 信 息 在 产 
生 、 存 储 、 传 输 和 处 理 过 程 中 的 保密 、 完 整 、 抗 抵赖 和 可 用 ， 将 省 公司 的 信息 系统 用 户 
纳入 到 统一 的 用 户 管理 体系 中 ;， 提 高 应 用 系统 的 安全 强度 和 应 用 水 平 。 

辽宁 电力 系统 的 PKI-CA 认证 系统 ， 采 用 自主 开发 、 拥 有 完全 的 自主 知识 产权 的 国 
内 信息 安全 产品 加 以 实现 。 包 括 一 个 KMC 密 钥 管理 中 心 、CA 中 心 、RA 中 心 和 一 个 远 
程 受理 点 。 其 结构 可 平滑 地 连接 到 国家 电网 公司 根 CA 上 ， 如 图 3-9 所 示 。 

建立 一 套 主 、 从 目录 服务 器 体系 和 OCSP 服务 器 ， 存 放 全 省 所 有 的 证 书 和 废除 证 书 
列表 。 实 现 证 书 的 查询 及 CRL 的 发 布 。 

初步 建立 PMI 系统 ， 实 现 对 应 用 系统 的 各 种 资源 进行 集中 访问 控制 ， 并 完成 授权 


管理 。 
初步 建立 时 间 惟 服务 系统 ， 为 应 用 系统 提供 精确 可 信 的 时 间 戳 服务， 保证 业务 处 理 
的 不 可 抵赖 性 和 可 审计 性 。 

应 用 PKI 技术 对 现 有 的 应 用 系统 进行 安全 改造 建设 ， 为 应 用 系统 提供 加 密 、 解 密 、 
签名 、 验 签 等 安全 功能 。 

7. 网 络 信息 安全 监视 及 管理 平台 

依托 成 熟 稳定 的 平台 产品 ， 将 辽宁 电力 信息 网 中 与 安全 相关 的 信息 集中 ， 利 用 数据 
仓库 技术 作 灵 活 的 展示 ， 包 含 安全 产品 的 信息 、 网 络 的 性 能 信息 和 故障 信息 、 主 机 的 性 


能 信息 和 故障 信息 、 数 据 库 的 性 能 信息 和 故障 信息 以 及 应 用 系统 的 性 能 信息 和 故障 信息 。 
并 对 相关 信息 生成 定期 报表 ， 对 性 能 信息 做 出 趋势 预测 。 用 户 可 以 通过 Web 的 方式 ， 以 
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图 形 的 方式 查询 网 络 设备 的 运行 情况 ， 可 以 分 为 实时 和 历史 两 种 模式 ， 对 于 设备 运行 过 
程 中 出 现 的 故障 能 够 在 图 形 上 展现 出 来 , 并且 按照 用 户 设 定 的 方式 进行 告警 , 如 声 、 光 、 
E-mail 和 手机 短 消 息 等 。 系 统 支持 大 屏幕 显示 方式 ， 如 图 3-10 所 示 。 


1 用 户 申请 信息 的 录入 并 | 
;负责 对 用 户 进行 审核 . 


供电 公司 汪 天 机 构 1 供电 公 司 注册 机 构 2 


辽宁 电力 PKI-CA 系 统 功能 结构 图 
图 3-9 ”辽宁 电力 系统 的 PKI-CA 认证 系统 功能 结构 


整个 系统 从 大 的 层次 分 为 监控 单元 层 、 数 据 处 理 层 和 用 户 界面 层 。 系 统 从 网 络 管理 
平台 获得 网 络 监控 的 基础 性 能 数据 ， 经 过 综合 数据 处 理 平台 的 数据 整合 处 理 转换 成 用 户 
需要 的 展现 方式 。 


8. 建立 了 数据 备份 和 灾难 恢复 系统 


辽宁 电力 系统 异地 数据 备份 和 容 灾 系 统 由 两 个 省 级 备份 中 心 〈 省 公司 和 沈阳 供电 公 
司 )，12 个 区 域 备份 中 心 (12 个 供电 公司 ) 构成 。 实 现 省 公司 和 13 个 供电 公司 数据 的 本 
地 、 异 地 备份 功能 。 实 现 了 将 存储 相关 资源 ， 数 据 、 介 质 、 设 备 等 在 线 存储 资源 统一 管 
理 和 调度 ， 合 理 分 配 存储 备份 资源 ， 避 免 资源 浪费 ， 提 高 资源 的 利用 率 。 对 所 有 重要 应 
用 系统 实现 了 系统 级 和 数据 级 的 自动 备份 与 恢复 ， 增 加 了 备份 的 安全 性 与 可 靠 性 ;在 系 
统 毁 损 而 必须 完全 重新 安装 操作 系统 、 应 用 程序 的 状态 下 ， 提 供 简便 且 快 速 的 灾难 恢复 
能 力 ; 可 以 在 最 短 的 时 间 内 同时 对 大 量 的 数据 进行 备份 ， 提 供 高 速 的 备份 能 力 。 

统一 制定 了 备份 策略 ， 建 立 了 辽宁 电力 系统 的 数据 信息 存储 管理 模式 和 规章 制度 。 
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为 今后 建立 辽宁 电力 系统 数据 中 心 黄 定 了 技术 基础 。 


业 应 用 系统 OA 系统 WWW 系 统 ) 


i T 入 侵 检 测 系统 (IDS) 
据说 拉 扩 系统 网 络 信息 安全 监视 平台 


基础 平台 
网 络 环境 | 主机 系统 | 数据 库 系统 | 


辽宁 电力 网 络 信息 安全 监视 及 管理 平台 架构 图 


图 3-10 辽宁 电力 网 络 信息 安全 监视 平台 架构 图 


该 系统 的 应 用 ， 保 证 了 省 公司 企业 各 业务 系统 数据 的 安全 。 为 电网 的 安全 生产 、 经 
营 和 管理 提供 了 保障 。 


9. 建立 了 信息 网 络 安全 防护 体系 


辽宁 电力 系统 信息 安全 防护 体系 由 防 病毒 系统 、 防 火 墙 系统 、 漏 洞 扫描 和 入 侵 检测 
系统 构成 。 

在 辽宁 电力 信息 网 内 统一 部 署 了 防 病毒 系统 ， 制 定 并 采用 统一 的 防 病毒 策略 和 防 病 
毒 管理 制度 ， 省 公司 设 一 级 防 病毒 服务 器 ， 基 层 单 位 及 其 二 级 单位 设 二 、 三 级 防 病毒 服 
务 器 ， 由 省 公司 负责 病毒 定义 码 的 更 新 。 

在 省 公司 及 所 属 13 个 供电 公司 统一 部 署 了 防火 墙 系统 ， 形 成 统一 的 层次 化 的 防火 
墙 防护 体系 。 将 辽宁 电力 信息 网 整体 划分 为 外 网 、 行 业 、 基 层 、 住 宅 区 、DMZ 和 内 网 6 
个 安全 域 ， 在 安全 域 之 间 采 取 有 效 的 访问 控制 措施 。 在 Intemet 出 口 、 服 务 器 集群 网 段 
接口 处 以 及 基层 的 接 入 处 的 防火 墙 ， 采用 双 机 热 备 、 负 载 均衡 的 部 署 方案 。 

辽宁 电力 网 数据 存储 备份 系统 结构 图 如 图 3-11 所 示 。 

为 了 保证 防火 墙 安全 策略 的 一 致 与 完整 性 ， 提 高 安全 管理 水 平 ， 在 省 公司 对 所 有 的 
防火 墙 进行 集中 管理 ， 统 一 设置 、 维 护 安全 策略 并 下 发 ， 监 督 所 有 防火 墙 运行 状况 ， 查 
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看 、 统 一 分 析 安 全 日 志 。 落 实 防火 墙 管 理 制度 ， 技 术 手 段 和 管理 手段 结合 使 用 ， 保 证 企 
业 安 全 。 


r-----------------------------------------------------1 rr---------------------------------------- 


| 局 域 网 
rm 


2 ATM/ 城 网 2 


盘 锁 二 ”人 包 扒 
STKL80 带 库 STK L80 带 库 


两 锦 


3-11 辽宁 电力 网 数据 存储 备份 系统 结构 图 


在 省 公司 系统 中 统一 部 署 了 入 侵 检测 系统 (IDS)、 漏 洞 扫 描 系 统 和 主机 加 固 系统 。 
可 以 发 现 网 络 中 的 可 疑 行为 或 恶意 攻击 ， 及 时 报警 和 响应 。 可 对 网 络 和 主机 进行 定期 的 
扫描 ， 及 时 发 现 信息 系统 中 存在 的 漏洞 ， 采 取 补 救 措施 ， 增 加 系统 安全 性 。 

通过 建立 信息 安全 防护 体系 ， 有 效 地 保证 了 省 公司 信息 网 络 和 应 用 的 安全 。 


10. 组 织 汇编 和 编译 国际 信息 安全 标准 


编译 了 信息 技术 -IT 安全 管理 指南 、 信 息 安全 管理 、 系 统 安全 工程 能 力 成 熟 度 模型 
SSE-CMM 和 风险 评估 工作 指南 等 26 个 国际 标准 。 


11. 健全 信息 安全 管理 及 培训 制度 


2002 年 10 月 30 日 , 为 了 贯彻 落实 国务 院 和 国家 电力 公司 对 网 络 与 信息 安全 工作 的 
要 求 ， 保 证 省 公司 系统 的 网 络 与 信息 系统 在 十 六 大 和 明年 两 会 期 间 的 正常 运行 ， 防 止 网 
络 受到 破坏 和 攻击 、 防 止 有 害 信息 传播 等 情况 的 发 生 ， 有 效 防范 与 处 理 重 大 网 络 安全 事 
故 , 省 公司 信息 中 心 组 织 召 开 了 “辽宁 电力 系统 信息 化 工作 座谈 会 ”。 提 出 了 具体 工作 要 
求 ， 要 求 各 单位 要 提高 认识 ， 狠 抓 落 实 ， 全 力 以 赴 ， 确 保 两 会 期 间 的 网 络 与 信息 安全 。 
各 信息 系统 要 本 着 “ 谁 主管 ， 谁 负责 ”“ 谁 经 营 ， 谁 负责 ”“ 谁 使 用 、 谁 负责 ”“ 谁 上 
网 、 谁 负责 ”的 原则 ， 明 确 责任 到 人 ， 落实 措施 到 岗 ， 资 金保 证 到 位 ， 保 证 必要 的 人 力 、 
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物力 和 资金 的 投入 。 要 加 强 网 络 与 信息 系统 的 安全 管理 ， 制 定 、 完 善 相关 规章 制度 ， 加 
强 信息 工作 人 员 及 信息 系统 用 户 的 信息 安全 培训 ， 提 高 全 体 工作 人 员 的 信息 安全 技能 和 
意识 。 要 按照 《国家 电力 公司 网 络 与 信息 安全 评测 大 纲 》 开 展 网 络 与 信息 安全 自 查 工作 ， 
并 结合 本 单位 实际 情况 ， 制 定安 全 防范 措施 和 应 急 预 案 。 

为 贯彻 落实 国家 电力 公司 的 安全 生产 方针 ， 加 强 辽 宁 电力 信息 网 络 系统 的 安全 管 
理 , 提高 网 络 安全 水 平 , 保证 网 络 和 信息 系统 的 正常 进行 , 促进 电力 工业 信息 化 的 发 展 ， 
于 2002 年 11 月 开始 组 织 基层 单位 有 关 人 员 编 制 《辽宁 电力 信息 系统 信息 安全 规程 〈 试 
行 )》， 辽 宁 电 力 系 统 信息 网 络 运行 规程 〈 试 行 ) 和 辽宁 电力 信息 网 络 系统 管理 规程 〈 试 
行 )。 这 些 规 程 将 保证 各 单位 将 网 络 安全 管理 落实 到 实际 的 工作 中 。 

为 保证 省 公司 机 关 及 所 属 单位 的 主机 安全 ， 开 发 了 主机 加 固 程 序 ， 并 用 视频 系统 开 
展 信息 安全 培训 工作 ， 指 导 基 层 单位 完成 主机 加 固 。 

在 防 病毒 等 工作 方面 充分 利用 辽宁 电力 信息 发 布 系统 ， 在 网 上 设立 “ 防 病毒 专栏 ”， 
公布 “冲击 波 ””“CIH”、“ 蠕 虫 王 ”和 “杀手 13” 等 病毒 及 其 变种 病毒 防治 的 方法 ， 保 
证 了 辽宁 电力 系统 的 网 络 和 信息 安全 。 

下 发 和 转发 了 《信息 系统 数据 备份 与 管理 暂行 规定 》《 信 息 系统 主机 安全 加 固 管理 
制度 》、《 关 于 对 “十 六 大 ”期 间 网 络 与 信息 安全 工作 部 署 的 紧急 通知 》 《关于 对 用 涉 密 
计算 机 上 国际 互联 网 问题 进行 保密 安全 检查 的 通知 》 和 《辽宁 电力 有 限 公 司 信息 系统 信 
息 安全 策略 一 一 Windows 2000 安全 配置 标准 》 等 有 关 文 件 和 标准 。 

为 保证 示范 工程 的 质量 和 按期 完成 ，2003 年 4 月 参加 了 BS 7799 信息 安全 培训 ， 系 
统 学 习 了 信息 安全 管理 基础 、 实 践 规范 、 体 系 规 范 、 信 息 安 全 技术 管理 、 安 全 措施 等 。 

为 提高 基层 供电 公司 技术 人 员 的 信息 安全 方面 的 技能 ，2003 年 11 月 17 日 至 20 日 
省 公司 信息 中 心 在 沈阳 南湖 大 酒店 举办 了 网 络 管理 系统 、 防 火 墙 和 数据 备份 系统 技术 培 
训 班 。 培训 内 容 有 : 防火 墙 (Neteye 防火 墙 ) 的 配置 和 基本 操作 ; 网 络 管理 系统 (Tivoli) 
的 体系 结构 、 基 本 操作 和 配置 ;数据 备份 管理 系统 〈Veritas) 的 安装 与 基本 操作 和 
StorageTek 自动 磁带 库 安装 与 维护 。 基 层 13 个 供电 公司 共有 23 人 参加 ， 每 单位 至 少 有 
一 人 参加 。 

通过 培训 ， 基 层 单位 技术 人 员 对 即将 实施 的 系统 有 了 初步 的 了 解 ， 再 经 过 实施 工程 
中 的 现场 培训 ， 基 本 可 以 达到 一 般 的 运行 维护 水 平 。 


12. 持续 改进 完善 ， 不 断 提高 应 用 水 平 


在 全 省 各 供电 公司 建立 远程 受理 点 及 目录 服务 、OCSP 服务 系统 ， 从 而 将 现 有 的 省 
公司 认证 系统 扩充 为 整个 辽宁 电力 系统 范围 的 认证 系统 ， 形 成 辽宁 电力 系统 完整 的 认证 
体系 。 并 建立 各 供电 电力 公司 的 安全 应 用 支撑 平台 ， 完 成 辽宁 电力 系统 的 认证 系统 体系 
建设 ， 进 一 步 完 善 应 用 系统 改造 ， 完 成 各 地 市 供电 公司 的 应 用 改造 系统 。 为 辽宁 电力 系 
统 应 用 系统 进行 证 书 安全 服务 。 

对 全 省 数据 备份 系统 存储 设备 进行 扩容 ， 对 在 线 及 二 级 存储 进行 扩容 ， 不 断 接 入 新 
的 应 用 系统 ， 满 足 辽 宁 电 力 系 统 不 断 发 展 的 需要 。 在 省 公司 与 沈阳 、 大 连 供电 公司 建立 
全 省 的 数据 信息 存储 灾 备 中 心 ， 实 时 容 灾 集群 ， 实 现 异地 应 用 级 的 集群 备份 。 不 断 完 善 
现 有 的 网 络 信息 系统 ， 坚 持 四 统一 原则 ， 加 强 基 层 单位 信息 化 建设 ， 满 足 省 公司 生产 、 
经 营 和 管理 的 安全 需求 。 
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网 络 信息 安全 风险 评估 方法 包括 资产 的 识别 与 赋值 、 威 胁 的 识别 与 赋值 、 弱 点 的 发 
现 与 赋值 、 整 体 风 险 的 评估 ， 以 及 最 终 形 成 风险 评估 报告 。 通 过 对 网 络 信息 系统 进行 安 
全 风险 评估 ， 全 面 了 解 安 全 风险 现状 和 存在 问题 ， 提 出 企业 网 络 信息 系统 的 安全 建设 建 
议和 措施 。 

本 章 介 绍 的 信息 资产 包括 服务 、 数 据 、 硬 件 、 软 件 ， 文 档 、 设 备 、 人 员 及 企业 形象 ， 
客户 关系 等 ;信息 安全 威胁 包括 非 授权 蓄意 行为 、 不 可 抗力 、 人 为 错误 以 及 设施 /设备 错 
误 等 ， 信 息 安 全 弱点 分 类 、 发 现 与 赋值 及 信息 安全 弱点 获取 等 概念 及 工程 方法 ， 还 介绍 
辽宁 电力 信息 安全 风险 评估 方法 及 应 用 实例 。 


4.1 风险 评估 目的 及 范围 


风险 评估 目的 是 通过 对 网 络 信息 系统 进行 安全 风险 评估 ， 第 一 ， 了 解 企业 电 力 信息 
系统 安全 现状 和 存在 的 各 种 安全 风险 ， 发 现 与 信息 系统 现 有 安全 策略 中 的 所 要 求 的 安全 
目标 之 间 的 差距 ;第 二 ， 对 现 有 企业 网 络 信息 安全 策略 进行 动态 调整 、 修 订 和 完善 ， 丰 
富 企业 信息 系统 安全 策略 ;第 三 ， 根 据 安全 评估 的 结果 来 发 现 企业 中 存在 的 比较 迫切 的 
安全 需求 ， 并 且 为 企业 网 络 信息 系统 的 安全 建设 提供 参考 依据 。 

风险 评估 的 范围 包括 资产 的 识别 与 赋值 、 威 胁 的 识别 与 赋值 、 弱 点 的 发 现 与 赋值 、 
整体 风险 的 评估 ， 以 及 最 终 形成 风险 评估 报告 。 


4.2 ”信息 资产 的 识别 与 赋值 

信息 资产 包括 有 服务、 数据、 硬件、 软件， 文档、 设备、 人员 及 企业 形象 ， 客 户 关系 
等 ， 信 息 资产 的 识别 与 赋值 的 意义 及 实施 方法 是 本 节 介 绍 的 主要 内 容 。 
4.2.1 信息 资产 分 类 

资产 是 企业 、 机 构 直接 赋予 了 价值 因而 需要 保护 的 东西 。 它 可 能 是 以 多 种 形式 存 
在 ， 无 形 的 、 有 形 的 ， 硬 件 、 软 件 ， 文 档 、 代 码 ， 服 务 、 企 业 形 象 等 。 它 们 分 别 具 有 不 


同 的 价值 属性 和 存在 特点 ， 存 在 的 弱点 、 面 临 的 威胁 、 需 要 进行 的 保护 和 安全 控制 都 各 
不 相同 。 企 业 的 信息 资产 是 企业 资产 中 与 信息 开发 、 存 储 、 转 移 、 分 发 等 过 程 直接 、 密 
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切 相关 的 部 分 。 
参照 BS7799 对 信息 资产 的 描述 和 定义 ， 将 信息 资产 按照 下 面 的 分 类 方法 进行 分 类 ， 
如 表 4-1 所 示 。 


表 4-1 信息 资产 分 类 表 

解释 /举例 
存在 于 电子 媒介 的 各 种 数据 和 资料 ， 包 括 源 代码 、 数 据 库 数据 、 业 务 数据 、 客 
户 数据 、 各 种 数据 资料 、 系 统 文档 、 运 行 管理 规程 、 计 划 、 报 告 、 用 户 手册 等 
各 种 业务 生产 应 用 、 业 务 处 理 能 力 和 业务 流程 (Process)、 操 作 系 统 、WWW、 
Service “|SMTP、POP3、FTP、MRPII、DNS、 呼 叫 中 心 、 内 部 文件 服务 、 网 络 连 接 、 
网 络 隔离 保护 、 网 络 管理 、 网 络 安全 保障 、 入 侵 监控 等 
Software | 应 用 软件 、 系 统 软 件 、 开 发 工具 和 资源 库 等 
i 网 路 由 器 、 交 换 机 、 硬 件 防火 墙 、 程 控 交换 机 、 布 线 、 备 份 存 储 设 
Document | 纸 质 的 各 种 文件 、 合 同 、 传 真 、 电 报 、 财 务 报告 、 发 展 计划 等 
Facility ”| 电源 、 空 调 、 保 险 柜 、 文 件 柜 、 门 禁 、 消 防 设施 等 
各 级 管理 人 员 、 网 管 员 、 系 统管 理 员 、 业 务 操作 人 员 、 第 三 方 人 员 等 与 被 评估 | 
信息 系统 相关 人 员 
企业 形象 、 客 户 关 系 等 


1. 服务 


服务 在 信息 资产 中 占有 非常 重要 的 地 位 ， 通 常 作为 企业 运行 管理 、 商 业 业 务实 现 等 
形式 存在 ， 属 于 需要 重点 评估 、 保 护 的 对 象 。 

通常 服务 类 资产 最 为 需要 保护 的 安全 属性 是 可 用 性 。 但 是 ， 对 于 某 些 服务 资产 ， 完 
整 性 和 机 密 性 也 可 能 成 为 重要 的 保护 对 象 。 例 如 ， 通 常 的 门户 站 点 的 新 闻 浏 览 、 计 算 环 
境 等 的 可 用 性 最 为 重要 。 但 是 ， 完 整 性 也 同样 重要 ， 例 如 门户 站 点 的 主页 被 修改 ， 造 成 
的 损失 也 可 能 是 灾难 性 的 。 


2. 数据 


数据 在 信息 资产 中 占有 非常 重要 的 地 位 ， 通 常 作为 企业 知识 产权 、 竞 争 优势 、 商 业 
秘密 的 载体 ， 属 于 需要 重点 评估 、 保 护 的 对 象 。 

通常 ， 数 据 类 资产 需要 保护 的 安全 属性 是 机 密 性 。 例 如 ， 公 司 的 财务 信息 和 薪酬 数 
据 就 是 属于 高 度 机 密 性 的 数据 。 但 是 ， 完 整 性 的 重要 性 会 随 着 机 密 性 的 提高 而 提高 。 

企业 内 部 对 于 数据 类 资产 的 分 类 方法 通常 根据 数据 的 敏感 性 〈Sensitivity ) 来 进行 ， 
与 机 密 性 非常 类 似 。 例 如 ， 表 4-2 是 常用 的 一 种 数据 分 类 方法 。 


表 4-2 数据 类 资产 的 子 类 表 
解释 /举例 
E 何 保密 机 制 和 措施 ， 可 以 公开 使 用 (例如 产品 发 表 新 闻 等 
Intemal ”| 公司 内 部 员工 或 文档 所 属 部 门 使 用 ， 或 文档 涉及 的 公司 使 用 例如 合同 等 ) 
Private 由 与 顾问 服务 项 目 相 关 的 公司 和 客户 公司 成 员 使 用 
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简称 解释 /举例 
Confidential| 只 有 在 文档 中 指定 的 人 员 可 使 用 ， 文 档 的 保管 要 在 规定 的 时 间 内 受到 控制 


非 文档 的 拟订 者 或 文档 的 所 有 者 及 管理 者 ， 其 他 指定 人 员 在 使 用 文档 后 迅速 地 按 
要 求 销 毁 


Secret 


但 是 ， 这 样 的 分 类 并 不 能 反映 在 数据 资产 的 全 部 安全 属性 。 所 以 ， 在 顾问 咨询 中 ， 
将 采取 对 数据 类 资产 直接 赋值 的 方法 来 进行 。 


3. 软件 


软件 是 现代 企业 中 重要 的 固定 资产 之 一 ， 与 企业 的 硬件 资产 一 起 构成 了 企业 的 服务 
资产 以 及 整个 的 工人 信息 环境 。 一 般 情况 下 ， 软 件 资产 包括 软件 的 许可 证 、 存 储 的 媒体 和 
后 续 的 服务 等 ， 与 可 能 安装 或 运行 的 硬件 无 关 ， 软 件 的 价值 经 常 体现 在 软件 本 身 的 许可 
证 、 序 列 号 、 软 件 伴随 的 服务 等 无 形 资产 上 面 。 

安装 或 运行 后 的 软件 ， 开 始 为 企业 提供 服务 和 应 用 的 功能 后 ， 成 为 服务 资产 类 ， 有 
别 于 软件 资产 。 

按照 软件 所 处 的 层次 和 功能 ， 可 以 将 软件 资产 分 为 以 下 子 类 ， 如 表 4-3 所 示 。 


表 4-3 软件 类 资产 的 子 类 表 


| | 简 称 | 解释 /举例 
各 种 操作 系统 及 其 各 种 外 挂 平台 ， 如 Windows 2000、RichWin 等 
应 用 软件 各 种 应 用 类 软件 ， 如 MS Office、 财 务 软件 、 数 据 库 软件 、MIS 等 


开发 环境 各 种 开发 环境 类 软件 ， 如 MSDN、Java 开发 环境 、Delphi 等 
| 数据 库 ”| DB | 各 种 数据 库 类 软件 ， 如 Oracle、DB2、Sybase 等 


4. 硬件 


硬件 主要 指 企业 中 的 硬件 信息 设备 ， 包 括 计算 机 硬件 、 路 由 器 、 交 换 机 、 硬 件 防火 
墙 、 程 控 交 换 机 、 布 线 、 备 份 存储 等 设备 。 硬 件 资产 单 指 硬件 设备 ， 不 包括 运行 在 硬件 
设备 中 的 软件 系统 、IOS、 配 置 文件 和 存储 的 数据 等 ， 软 件 本 身 属 于 软件 资产 。 

运行 中 的 软件 系统 和 IOS 等 属于 服务 资产 ， 配 置 文件 和 存储 的 数据 属于 数据 资产 。 


5. 文档 


文档 主要 指 企业 的 纸 质 的 各 种 打印 和 非 打 印 的 各 种 文档 和 文件 ， 包 含 了 企业 有 价值 
的 信息 ， 又 以 纸 质 的 方式 来 保存 ， 包 括 文件 、 合 同 、 传 真 、 财 务 报告 、 发 展 计划 、 业 务 
流程 、 通 讯 录 、 组 织 人 员 职 责 等 。 

因为 纸 质 文档 的 安全 保护 方法 和 电子 信息 的 方法 完全 不 同 ， 所 以 和 数据 资产 区 别 对 待 。 


6. 设备 
设备 主要 指 企业 的 非 IT 类 的 设备 ， 主 要 包括 电源 、 空 调 、 保 险 柜 、 文 件 柜 、 门 禁 、 
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消防 设施 等 。 此 处 一 般 属 于 物理 安全 的 问题 ， 主 要 的 设备 一 般 集 中 在 机 房 内 。 
7. 人 员 


人 员 主 要 指 企业 与 信息 相关 的 人 员 ， 包 括 管理 人 员 、 网 络 管理 员 、 系 统管 理 员 、 业 
务 操作 人 员 等 与 被 评估 信息 系统 相关 的 人 员 。 


4.2.2 ”信息 资产 赋值 


信息 资产 分 别 具 有 不 同 的 安全 属性 ， 机 密 性 、 完 整 性 和 可 用 性 分 别 反映 了 资产 在 3 
个 不 同方 面 的 特性 。 安 全 属性 的 不 同 通常 也 意味 着 安全 控制 、 保 护 功能 需求 的 不 同 。 通 
过 考察 3 种 不 同安 全 属性 ， 可 以 得 出 一 个 能 够 反映 资产 价值 的 数值 。 对 信息 资产 进行 赋 
值 的 目的 是 为 了 更 好 地 反映 资产 的 价值 ， 以 便于 进一步 考察 资产 相关 的 弱点 、 威 胁 和 风 
险 属性 ， 并 进行 量化 。 


1. 机 密 性 


根据 资产 机 密 性 〈Confidentiality) 属性 的 不 同 ， 将 它 分 为 5 个 不 同 的 等 级 ， 分 别 对 
应 资产 在 机 密 性 方面 的 价值 或 者 在 机 密 性 方面 受到 损失 时 对 企业 或 组 织 的 影响 。 赋 值 方 
法 如 表 4-4 所 示 。 


人 Me 


CT ET 特别 不 愿 接受 的 
ery High 影响 


ee 机 密 性 价值 较 高 ， 潜 在 影响 严重 ， 企 业 将 蒙受 严重 损失 ， 难 以 弥补 


机 密 性 价值 中 等 ， 潜 在 影响 重大 ， 但 可 以 弥补 
机 密 性 价值 较 低 ， 潜 在 影响 可 以 忍受 ， 较 容易 弥补 
| “0 | Negligible | 机 密 性 价值 或 潜在 影响 可 以 忽略 


2. 完整 性 


根据 资产 完整 性 (Integrity) 属性 的 不 同 ， 将 它 分 为 5 个 不 同 的 等 级 ， 分 别 对 应 资产 
在 完整 性 方面 的 价值 或 者 在 完整 性 方面 受到 损失 时 对 企业 或 组 织 的 影响 , 赋值 方法 如 表 4-5 
所 示 。 


表 4-5 ”资产 完整 性 属性 等 级 赋值 表 


国民 


完整 性 价值 非常 关键 ， 具 有 致命 性 的 潜在 影响 或 无 法 接受 、 特 别 不 愿 接受 的 
四 区 High 影响 


完整 性 价值 较 高 ， 潜 在 影响 严重 ， 企 业 将 蒙受 严重 损失 ， 难 以 弥补 
让 


完整 性 价值 中 等 ， 潜 在 影响 重大 ， 但 可 以 弥补 
完整 性 价值 较 低 ， 潜 在 影响 可 以 忍受 ， 较 容易 弥补 


| 完整 性 价值 或 潜在 影响 可 以 忽略 
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3. 可 用 性 


根据 资产 可 用 性 〈Availability) 属性 的 不 同 ， 将 它 分 为 5 个 不 同 的 等 级 ， 分 别 对 应 
资产 在 可 用 性 方面 的 价值 或 者 在 可 用 性 方面 受到 损失 时 对 企业 或 组 织 的 影响 ， 赋 值 方法 
如 表 4-6 所 示 。 


表 4-6 资产 可 用 性 属性 等 级 赋值 表 
解释 
[用 性 价值 非常 关键 ,具有 致命 性 的 潜在 影响 或 无 法 接受 、 特 别 不 愿 接受 的 
影响 
[用 性 价值 较 高 ， 潜 在 影响 严重 ， 企 业 将 蒙受 严重 损失 ， 难 以 弥补 


可 

可 用 性 价值 中 等 ， 潜 在 影响 重大 ， 但 可 以 弥补 

可 用 性 价值 较 低 ， 潜 在 影响 可 以 忍受 ， 较 容易 弥补 
可 用 性 价值 或 潜在 影响 可 以 忽略 


4. 资产 价值 


资产 价值 (Asset Value) 用 于 反映 某 个 资产 作为 一 个 整体 的 价值 ， 综 合 了 机 密 性 、 
完整 性 和 可 用 性 3 个 属性 。 

通常 ， 考 察 实际 经 验 ，3 个 安全 属性 中 最 高 的 一 个 对 最 终 的 资产 价值 影响 最 大 。 换 
而 言 之 ， 整 体 安全 属性 的 赋值 并 不 随 着 3 个 属性 值 的 增加 而 线性 增加 ， 较 高 的 属性 值 具 
有 较 大 的 权重 。 

为 此 ， 在 本 项 目 中 使 用 下 面 的 公式 来 计算 资产 价值 赋值 : 

Asset Value = Round] {Logs[(2°™+2 "420)/3]} 

其 中 ，Conf 代表 机 密 性 赋值 ; Int 代表 完整 性 赋值 ; Avail 代表 可 用 性 赋值 ; Round1{} 
表示 四 舍 五 入 处 理 ， 保 留 一 位 小 数 ，Log2[] 表 示 取 以 2 为 底 的 对 数 。 

上 述 算式 表达 的 背后 含义 是 ，3 个 属性 值 每 相差 一 ， 则 影响 相差 两 倍 ， 以 此 来 体现 
最 高 赋值 属性 的 主导 作用 。 


5. 各 类 资产 安全 属性 说 明 


数据 类 资产 如 表 4-7 所 示 。 


表 4-7 数据 类 资产 安全 属性 说 明 表 
资产 属性 类 别 资产 属性 说 明 


机 密 性 


指数 据 保持 机 密 性 ， 只 在 正式 授权 的 范围 内 可 知 , 确保 只 有 经 过 授权 的 人 才能 访 
问 和 使 用 数据 ， 防 止 泄 露 给 其 他 人 或 竞争 对 手 

完整 性 | 指数 据 的 完整 性 和 准确 性 ， 不 被 算 改 

可 用 性 确保 经 过 授权 的 用 户 在 需要 时 可 以 访问 和 使 用 数据 


服务 类 资产 如 表 4-8 所 示 。 
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表 4-8 服务 类 资产 安全 属性 说 明 表 
资产 属性 类 别 资产 属性 说 明 
指 服务 和 流程 保持 机 密 性 , 包括 服务 的 细节 情况 和 流程 的 过 程 和 方法 论 , 例如 操作 
机 密 性 系统 和 应 用 软件 服务 的 配置 情况 和 应 用 情况 , 业务 流程 中 的 方法 论 ， 人 员 技 能 情况 
和 依据 的 标准 等 


交 玫 性 指 服务 和 流程 的 完整 性 和 准确 性 ， 保 证 服务 自身 的 完整 性 和 准确 性 ， 不 被 算 改 , 可 
a 以 提供 正确 和 完成 的 服务 和 输出 
可 用 性 确保 为 经 过 授权 的 用 户 在 需要 时 可 以 提供 服务 和 信息 处 理 能 力 


软件 类 资产 如 表 4-9 所 示 。 
表 4-9 软件 类 资产 安全 属性 说 明 表 


资产 属性 类 别 资产 属性 说 明 
机 密 性 指 软 件 的 版 本 ， 许 可 证 等 信息 的 机 密 性 ， 一 般 不 高 ， 所 以 赋值 一 般 为 0 或 1 


完整 性 指 软件 的 完整 性 和 准确 性 ， 不 被 自 改 和 加 入 后 门 等 ， 在 需要 应 用 时 能 保证 软件 的 
3 完整 性 和 准确 性 
可 用 性 指 用 户 在 需要 时 可 以 使 用 软件 ， 一 般 不 高 ， 所 以 赋值 一 般 为 0 或 1 


硬件 类 资产 如 表 4-10 所 示 。 
表 4-10 硬件 类 资产 安全 属性 说 阴 表 


资产 属性 说 明 

指 硬 件 的 型 号 、 配置 、 连 接 情 况 和 端口 等 信息 ,一 般 不 高 ， 所 以 赋值 一 般 为 0 或 1， 
关键 硬件 可 以 赋值 为 2 

指 硬件 的 完整 性 ， 不 被 毁坏 或 盗窃 ， 不 被 非 授权 更 改 配置 

指 用 户 在 需要 时 可 以 使 用 ， 能 满足 或 支撑 其 上 面 运行 的 软件 服务 。 赋 值 一 般 和 硬 
件 所 支撑 和 承载 的 服务 价值 有 较 大 关系 


文档 类 资产 如 表 4-11 所 示 。 
表 4-11 文档 类 资产 安全 属性 说 明 表 


指 文档 保持 机 密 性 ， 只 在 正式 授权 的 范围 内 可 知 ， 确 保 只 有 经 过 授权 的 人 才能 访 
问 ， 防 止 泄露 文档 上 的 信息 和 数据 

指 文档 的 完整 性 和 准确 性 ， 不 被 算 改 

可 用 性 


确保 经 过 授权 的 用 户 在 需要 时 可 以 使 用 文档 


设备 类 资产 如 表 4-12 所 示 。 


表 4-12 设备 类 资产 安全 属性 说 明 表 
资产 属性 类 别 资产 属性 说 明 
机 密 性 指 设备 的 型 号 、 配 置 等 信息 的 保密 性 ， 一 般 不 高 ， 所 以 赋值 一 般 为 0 或 1 


指 设备 硬件 的 完整 性 ， 不 被 毁坏 或 盗窃 ， 不 被 非 授权 更 改 配置 
指 设备 在 需要 时 可 以 使 用 ， 能 满足 或 支撑 信息 处 理 服务 
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人 员 类 资产 如 表 4-13 所 示 。 


表 4-13 人 员 类 资产 安全 属性 说 阴 表 
资产 属性 类 别 资产 属性 说 明 


机 密 性 


指 人 员 的 部 门 、 岗 位 、 职 责 、 技 能 、 当 前 工作 状态 和 经 历 等 信息 的 保密 性 ， 对 一 
般 企业 赋值 不 高 ， 但 对 于 机 密 和 国家 安全 部 门 的 机 密 或 敏感 人 员 ， 赋 值 非常 高 
完整 性 指 避 免 人 员 的 离职 、 流 动 、 调 动 等 情况 ， 保 证 人 员 在 职 

指 保证 人 员 的 健康 状态 、 技 能 和 经 验 、 心 理 状 态 等 能 够 满足 其 信息 相关 的 工作 职 
可 用 性 责 ， 在 需要 时 能 够 胜任 其 工作 。 关 键 人 员 的 可 用 性 一 般 比 较 重要 ， 否 则 对 业务 流 
程 有 非常 大 的 影响 


6. 赋值 示例 


例如 ， 对 于 一 个 技术 性 软件 公司 ， 其 某 个 核心 软件 产品 的 源 代码 是 一 项 非常 重要 的 
信息 资产 。 那 么 ， 按 照 本 文 分 类 和 赋值 方法 进行 分 类 和 赋值 如 表 4-14 所 示 。 


表 4-14 资产 赋值 示例 表 
核心 机 密 ， 凝 结 企业 核心 价值 ， 漆 密 则 导致 企业 灾难 性 损失 
资产 机 窗 性 赋值 是 企业 特别 不 愿 接受 的 损失 
如 被 答 改 〈 植 入 木马 或 出 现 政治 上 反动 违法 等 内 容 ) 或 列 除 ， 
企业 形象 、 客 户 关系 、 财 务 等 重大 损失 ， 难 以 弥补 


资产 完整 性 赋值 


因 火 灾 等 导致 代码 不 可 用 ， 企 业 蒙受 经 济 损失 ， 但 是 可 以 通过 
次 站 可 用 性 贼 位 研发 部 门 的 努力 来 恢复 


4.2.3 “信息 资产 评估 的 实施 范围 


根据 评估 抽样 范围 ， 对 涉及 的 信息 资产 进行 抽样 ， 被 抽样 的 信息 资产 成 为 后 面 步 又 
中 实际 的 评估 对 象 。 

具体 评估 工作 中 各 种 评估 手段 选取 的 信息 资产 范围 如 下 。 

(1) Internet 扫描 评估 的 范围 : 网络 Interet 边界 路 由 器 ; 核心 交换 机 ; 拨号 服务 器 ; 
MIS 系统 服务 器 ;OA 系统 服务 器 ，Intranet 应 用 服务 器 ;应 用 系统 等 。 

(2) 数据 库 扫 描 的 评估 范围 : MIS 系统 服务 器 等 。 

(3) 人 工 评 估 范 围 : MIS 系统 服务 器 ，OA 系统 服务 器 ;Intranet 应 用 服务 器 ， 指定 
卫 地址 的 网 络 设备 以 及 主机 上 的 应 用 系统 等 。 

(4) 渗透 测试 评估 范围 ; 指定 IP 地 址 为 1 的 主机 ; 指定 IP 地 址 为 2 的 主机 ; 指定 
IP 地 址 为 3 的 主机 ; 指定 卫 地 址 为 4 的 主机 ; 指定 他 地 址 为 5 的 主机 等 。 

(5) 顾问 访谈 评估 : 信息 中 心 主任 、 网 络 管理 工程 师 、 业 务 系 统 工程 师 、 服 务 器 管 
理工 程 师 、 信 息 安全 工程 师 等 有 关 设 备 的 操作 与 管理 人 员 。 

(6) 信息 资产 识别 : 信息 资产 的 识别 由 评估 工作 组 经 现场 调查 完成 ， 其 信息 资产 识 
别 的 结果 编制 《信息 资产 列表 》。 
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4.3 ”信息 安全 威胁 分 类 与 属性 


信息 安全 威胁 包括 非 授权 蓄意 行为 、 不 可 抗力 、 人 为 错误 以 及 设施 /设备 错误 等 。 信 
息 安 全 威胁 分 类 与 属性 ， 信 息 安全 威胁 的 可 能 性 赋值 标准 ， 分 析 了 威胁 发 生 的 概率 和 威 
胁 发 生 的 频率 是 本 节 介绍 的 主要 内 容 。 


4.3.1 ”信息 安全 威胁 分 类 


威胁 是 信息 系统 和 信息 资产 发 生 的 不 期 望 的 事件 而 造成 损害 的 可 能 性 。 威 胁 可 能 源 
于 对 企业 信息 直接 或 间接 的 攻击 ， 例 如 非 授权 的 泄露 、 自 改 、 删 除 等， 在 机 密 性 、 完 整 
性 或 可 用 性 等 方面 造成 损害 。 威 胁 也 可 能 源 于 偶发 的 或 蓄意 的 事件 。 一 般 ， 威 胁 总 是 要 
利用 企业 网 络 中 的 系统 应 用 或 服务 的 弱点 才 可 能 成 功 地 对 资产 造成 伤害 。 从 宏观 上 讲 ， 
威胁 按照 产生 的 来 源 可 以 分 为 非 授权 蓄意 行为 、 不 可 抗力 、 人 为 错误 以 及 设施 /设备 错 
误 等 。 

安全 威胁 分 类 参照 4-15 表 中 的 内 容 。 

表 4-15 ”安全 威胁 分 类 参照 表 

名 称 
远程 root 攻击 远程 root 攻击 
由 于 某 授权 的 用 户 《 有 意 或 无 意 的 ) 执行 了 授权 他 人 要 执行 的 举动 、 可 能 
会 发 生 检测 不 到 的 IT 资产 损害 
攻击 者 通过 Sniffer、 和 窃听 或 者 捕捉 经 过 网 络 或 者 其 他 方式 传送 和 存储 的 
数据 
攻击 者 以 一 种 或 者 多 种 损害 信息 资源 访问 或 使 用 能 力 的 方式 消耗 信息 系 
统 资源 
统 合 行 了 非法 的 系 乡 
远程 溢出 攻击 al 理 的 内 存 分 配 执行 了 非法 的 系统 操作 , 从 而 获 
恶意 代码 和 病毒 ”| 具有 自我 复制 、 自 我 传播 能 力 ， 对 信息 系统 的 信息 构成 破坏 的 程序 代码 
通过 系统 开放 的 服务 进行 信息 收集 , 获取 系统 的 相关 信息 , 包括 系统 的 软 
件 、 硬 件 和 用 户 情况 等 信息 
算 改 由 于 攻击 者 非 授权 算 改 或 删除 信息 ， 信 息 的 完整 性 可 能 受到 损害 
油 密 机 密 泄露 , 如 某 授权 的 TOE 用 户 可 能 有 意 或 无 意 地 观察 到 存储 在 TOE 中 
的 、 不 允许 用 户 见 到 的 信息 
不 可 抗力 包括 自然 灾害 、 战 争 、 社 会 动乱 、 恐 怖 活动 等 人 为 不 可 抗拒 的 威胁 
设备 故障 由 于 用 户 差错 、 硬 件 差错 或 传输 差错 ， 信 息 的 完整 性 和 可 用 性 可 能 受到 

损害 

a 由 于 疏 于 安全 管理 ， 缺 乏 制度 ， 制 度 推行 不 力 等 而 引发 的 各 种 威胁 
物理 可 能 受到 物理 攻击 ， 如 物理 损坏 、 盗 窃 、 丢 失 等 
浪费 盲目 投资 


拒绝 服务 攻击 
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名 称 描 述 
A 由 于 某 用 户 (有意 或 无 意 的 ) 执行 了 错误 或 有 维护 性 的 举动 、 可 能 会 对 资 
误 操 作 ME 

产 造成 损害 

设备 故障 | 软件 、 硬 件 或 电源 失效 等 可 能 引起 TOE 运行 突然 中 断 ， 数 据 丢失 或 毁坏 
安全 工作 无 法 推动 | 安全 工作 因为 没有 安全 组 织 保障 ， 领 导 重视 或 缺乏 资源 等 而 无 法 推动 
业务 中 断 | 业务 连续 性 遭 到 破坏 ， 业 务 中 断 ， 企 业 蒙受 重大 损失 
环境 威胁 如 断 电 、 静 电 、 灰 尘 、 火 灾 、 电 磁 干 扰 等 环境 因素 而 引起 的 威胁 


4.3.2 ”信息 安全 威胁 属性 


在 安全 评估 中 ， 只 讨论 威胁 的 可 能 性 (Likelihood) 属性 ， 也 就 是 指 威胁 发 生 的 概率 
和 威胁 发 生 的 频率 。 用 变量 工 来 表示 威胁 的 可 能 性 ， 它 可 以 被 赋予 一 个 数值 ， 来 表示 该 
属性 的 程度 。 确 定 威胁 发 生 的 可 能 性 是 风险 评估 的 重要 环节 ， 顾 问 应 该 根据 经 验 和 相关 
的 统计 数据 来 判断 威胁 发 生 的 概率 和 频率 。 

威胁 发 生 的 可 能 性 受 下 列 两 个 因素 的 影响 : 一 是 资产 的 吸引 力 和 暴光 程度 ， 组 织 的 
知名 度 ， 主 要 在 考虑 人 为 故意 威胁 时 使 用 ， 二 是 资产 转化 成 利益 的 容易 程度 ， 包 括 财务 
的 利益 ， 黑 客 获得 运算 能 力 很 强 和 大 带宽 的 主机 使 用 等 利益 。 主 要 在 考虑 人 为 故意 威胁 
时 使 用 。 

实际 评估 过 程 中 ， 威 胁 的 可 能 性 赋值 ， 除 了 考虑 上 面 两 个 因素 ， 还 需要 参考 下 面 三 
方面 的 资料 和 信息 来 源 ， 综 合 考虑 ， 形 成 在 特定 评估 环境 中 各 种 威胁 发 生 的 可 能 性 。 

一 是 通过 评估 体 过 去 的 安全 事件 报告 或 记录 ， 统 计 各 种 发 生 过 的 威胁 和 其 发 生 频 
率 ; 二 是 在 评估 体 实际 环境 中 ， 通 过 IDS 系统 获取 的 威胁 发 生 数据 的 统计 和 分 析 ， 各 种 
日 志 中 威胁 发 生 的 数据 的 统计 和 分 析 ; 三 是 过 去 一 年 或 两 年 来 国际 机 构 〈 如 FBI) 发 布 
的 对 于 整个 社会 或 特定 行业 安全 威胁 发 生 频率 的 统计 数据 均值 。 


4.3.3 信息 安全 威胁 的 可 能 性 赋值 标准 


威胁 的 可 能 性 赋值 标准 如 表 4-16 所 示 。 


表 4-16 威胁 的 可 能 性 赋值 标准 参照 表 


赋值 | 描述 说 了 明 
4 几乎 肯定 预期 在 大 多 数 情况 下 发 生 ， 不 可 避免 (>90%) 


在 大 多 数 情况 下 ， 很 有 可 能 会 发 生 (50%~90%) 


3 
2 可 能 在 某 种 情况 下 或 某 个 时 间 ， 可 能 会 发 生 (20%~50%) 
L 发 生 的 可 能 性 很 小 ， 不 太 可 能 (<20%) 


| ”0 ”| 军 见 ” | 仅 在 非常 例外 的 情况 下 发 生 ， 非 常 罕见 ， 几 乎 不 可 能 (0%~1%) 


此 处 描述 的 是 威胁 的 可 能 性 ， 并 不 是 风险 的 可 能 性 ， 即 不 是 威胁 实际 发 生 作 用 的 可 
能 性 。 威 胁 要 实际 产生 影响 还 要 考虑 弱点 被 利用 的 难 易 程度 这 个 因素 。 
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从 威胁 分 类 角度 分 析 安 全 威胁 。 

最 严重 的 威胁 主要 来 自 于 远程 溢出 攻击 和 权限 提升 方面 的 威胁 ， 主 要 是 由 白 客 攻击 
测试 这 种 评估 方式 发 现 。 安 全 审计 对 应 的 资产 主要 为 整体 的 网 络 信息 系统 ， 人 工 评 估 和 
白 客 攻击 测试 对 应 的 资产 主要 为 具体 的 主机 系统 和 应 用 程序 。 所 以 受到 最 严重 的 威胁 的 
相关 资产 主要 是 主机 系统 和 应 用 程序 存在 致命 的 安全 弱点 和 信息 系统 网 络 安全 体系 和 管 
理 不 够 完善 而 引起 。 

从 威胁 影响 程度 来 讲 ， 严 重 的 威胁 ， 主 要 由 缓冲 区 远程 溢出 类 的 严重 漏洞 引起 ， 它 
可 以 使 攻击 者 远程 获得 root 权限 ， 从 而 对 本 主机 操作 系统 、 应 用 程序 和 所 附 数据 构成 至 
命 的 损坏 ， 此 部 分 对 应 的 资产 主要 为 主机 操作 系统 、 应 用 程序 。 另 外 ， 还 有 一 部 分 严重 
威胁 为 Password 管理 不 善 问 题 ，Password 为 空 或 太 简 单 都 可 以 使 攻击 者 轻易 远程 获得 部 
分 权限 或 root 权限 ， 从 而 对 本 主机 操作 系统 、 应 用 程序 和 所 附 数据 构成 致命 的 损坏 。 还 
有 一 部 分 是 因为 服务 器 系统 管理 不 善 所 致 ， 比 如 多 数 服务 器 都 没有 及 时 打上 操作 系统 提 
供 商 发 布 的 安全 补丁 还 有 大 多 数 的 Windows 服务 器 都 存在 可 以 建立 空 会 话 的 漏洞 ， 这 些 
大 多 数 的 威胁 都 已 经 在 白 客 测试 和 人 工 评 估 中 进行 了 证 实 。 

对 于 有 可 能 使 攻击 者 获得 极 高 权限 〈 如 得 到 root 权限 ) 的 安全 威胁 ， 攻 击 者 可 能 在 
获得 root 权限 以 后 再 利用 该 主机 作为 跳板 继续 向 网 内 其 他 机 器 进行 渗透 从 而 造成 更 大 的 
损失 ， 比 如 攻击 者 在 某 台 主机 上 取得 管理 员 权限 以 后 就 可 能 在 上 面 安装 用 于 窃听 的 程序 
造成 大 量 的 口令 泄露 ， 引 发 极 大 的 安全 事故 。 可 见 在 一 个 规模 较 大 的 网 络 上 只 要 有 一 台 
存在 重大 安全 隐患 的 主机 就 可 能 危及 到 整个 网 络 的 安全 。 从 威胁 事件 树 的 角度 来 分 析 ， 
这 些 威 胁 可 以 引起 一 连 串 的 威胁 ， 比 如 阅 述 数据 破坏 、 算 改 和 删除 ， 伪 造 和 欺骗 ， 业 务 
中 断 ， 法 律 纠纷 和 政治 风险 等 后 续 的 威胁 ， 后 果 不 堪 设 想 。 

这 些 威胁 产生 的 根源 还 是 管理 问题 ， 如 安全 策略 和 规章 制度 不 完善 ， 人 员 安 全 素质 
和 安全 意识 不 够 ， 安 全 组 织 不 够 健全 等 。 


4.4 信息 安全 弱点 的 发 现 与 赋值 


根据 弱点 产生 的 来 源 和 原因 进行 全 面 分 析 和 考察 ， 发 现 信息 安全 弱点 。 信 息 安 全 弱 
点 分 类 、 发 现 与 赋值 及 信息 安全 弱点 获取 方法 是 本 节 介 绍 的 主要 内 容 。 


4.4.1 信息 安全 弱点 分 类 


信息 安全 弱点 分 析 用 以 对 信息 系统 目前 信息 资产 中 存在 的 安全 弱点 进行 全 面 分 析 
和 考察 ， 并 为 安全 风险 评估 提供 重要 的 数据 来 源 。 

对 信息 安全 弱点 进行 分 类 的 方式 有 多 种 多 样 ， 最 主要 的 是 根据 弱点 产生 的 来 源 和 原 
因 。 参 照 国 际 通行 做 法 和 专家 经 验 ， 按 照 表 4-17 所 示 的 弱点 分 类 表 。 


操作 系统 与 应 用 
软件 的 默认 安装 
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表 4-17 信息 安全 弱点 分 类 表 


绝 大 多 数 软 件 ， 包 括 操作 系统 与 应 用 软件 都 自 带 了 安装 脚本 或 程序 。 安 装 程序 
的 目的 是 使 系统 尽快 的 安装 ， 使 大 多 数 的 应 用 功能 可 用 ， 管 理 员 执行 工作 至 少 
使 用 的 账户 。 为 了 完成 这 个 目的 ， 默 认 安 装 的 内 容 多 于 大 多 数 用 户 所 必须 使 用 
的 部 分 。 供 应 商 的 原则 是 激活 那些 非 必要 的 功能 好 于 用 户 在 需要 时 再 增 减 这 些 
功能 。 这 种 方法 虽然 方便 了 用 户 ， 但 也 造成 了 大 量 的 危险 的 安全 漏洞 ， 因 为 用 
户 不 会 积极 地 为 他 所 不 用 的 软件 进行 维护 与 打 补丁 。 更 进一步 ， 许 多 用 户 并 没 
有 意识 到 他 到 底 安 装 了 什么 ， 在 系统 上 留 下 了 危险 的 样本 ， 只 是 因为 用 户 并 不 
知道 有 安全 问题 


空 口令 或 弱 口 令 
账户 


多 数 的 系统 将 密码 作为 第 一 道 ， 也 是 最 后 一 道 防 线 。 用 户 ID 非常 容易 获得 , 在 
许多 公司 还 有 绕 过 防火 墙 的 拨号 接 入 设备 。 因 此 ， 如 果 一 个 攻击 者 能 够 测 出 账 
户 名 和 密码 ， 他 就 可 以 登录 网 络 。 很 容易 猜测 或 默认 的 口令 都 是 个 大 问题 ， 但 
最 大 的 问题 就 是 账户 没有 口令 。 在 实际 工作 中 ， 弱 口令 、 默 认 口 令 和 空 口令 都 
应 该 在 系统 中 移 走 。 

另外 ， 许 多 系统 具有 预先 设置 或 默认 账户 。 这 些 账 户 具有 同样 的 口令 ， 攻 击 者 
一 般 寻 找 这 些 账户 ， 因 为 他 们 很 熟悉 这 些 账户 。 因 此 ， 任 何 预先 设置 或 默认 账 
户 都 应 该 被 标识 并 且 从 系统 中 移 走 

当 事 故 发 生 〈 每 个 组 织 都 有 可 能 发 生 )， 要 求 有 最 新 的 备份 ， 并 从 备份 中 恢复 数 
据 。 一 些 组 织 每 天 都 会 做 备份 ， 但 几乎 从 不 检验 备份 内 容 是 否 可 用 。 有 些 组 织 
规定 了 备份 的 策略 和 步骤 ， 但 没有 规定 恢复 的 策略 与 步 又。 类 似 这 种 错误 经 常 
在 系统 数据 被 黑客 毁坏 或 污染 后 ， 需 要 做 恢复 工作 时 才 被 发 现 。 

关于 备份 的 第 二 个 问题 ， 是 对 备份 介质 的 物理 安全 防护 不 够 。 介 质 上 存储 的 数 
据 和 服务 器 上 的 数据 是 一 致 的 ， 同 样 敏感 ， 因 此 需要 同样 的 安全 防护 

无 论 合法 的 用 户 与 攻击 者 都 是 通过 开放 的 端口 接 入 系统 。 端 口 开 放 越 多 ， 就 意 
味 着 别人 有 越 多 的 途径 可 以 进入 系统 。 所 以 要 保证 系统 只 开放 功能 必需 的 端口 ， 
其 他 的 端口 都 要 关闭 

了 P 欺骗 是 黑客 常用 的 一 种 攻击 手段 ， 用 来 在 攻击 目标 是 隐藏 自己 的 踪迹 。 举 例 
来 讲 ， 著 名 的 Smurf 攻击 利用 路 由 器 的 特性 ， 向 上 千 台 机 器 发 送 广播 包 ， 每 个 


二 | 包 中 都 将 源 地 址 伪造 成 被 攻击 主机 的 地 址 。 所 有 接收 到 数据 包 的 机 器 都 向 被 伪 


造 地 址 的 机 器 发 出 响应 的 数据 包 ， 这 将 造成 被 攻击 的 主机 或 网 络 的 瘫痪 。 在 进 
或 出 的 数据 流 上 执行 过 滤 规 则 将 提高 防护 水 平 。 过 滤 规 则 如 下 : 
1. Any packet coming into your network must not have a source address of your 


intem〔 任 何 信息 的 来 源 如 果 不 是 一 个 内 部 地 址 就 需要 被 过 滤 掉 。) 


CGI 程序 漏洞 


一 句 安全 格言 是 :“ 预 防 是 理想 的 ， 检 测 是 必须 的 ”只 要 连 入 Intermet， 攻 击 者 
就 有 可 能 潜入 或 渗透 网 络 。 每 周 都 有 新 的 漏洞 被 发 现 ， 基 本 上 也 没有 什么 办 法 
防御 攻击 者 利用 最 新 的 漏洞 进行 攻击 。 一 旦 遭受 攻击 ， 没 有 日 志 ， 就 没有 什么 
办 法 来 发 现 攻击 者 做 了 什么 。 只 能 从 原始 介质 中 恢复 系统 ， 希 望 数据 备份 还 好 
用 ， 并 且 也 承担 系统 仍然 被 黑客 控制 的 风险 。 

如 果 你 不 知道 你 的 网 络 上 发 生 了 什么 ， 你 也 不 能 检测 出 攻击 。 日 志 提 供 了 一 些 
细节 : 正在 发 生 什 么 ， 什 么 系统 正在 遭受 攻击 ， 什 么 系统 已 经 遭受 了 攻击 
包括 微软 的 IIS 与 Apache 在 内 的 多 数 Web 服务 器 都 支持 CGICCommon Gateway 
Interface) 程序 ，CGI 程序 可 以 提供 互动 的 页 面 ， 对 用 户 提交 的 数据 进行 收集 与 
校 验 。 事 实 上 ， 多 数 的 Web 服务 器 都 默认 安装 〈 或 分 发 ) CGI 样本 程序 。 不 幸 
的 是 ， 很 多 CGI 程序 可 以 为 来 自 互联 网 上 的 任何 用 户 提供 直接 链接 的 功能 ， 让 
他 们 直接 链接 Web 服务 器 系统 。 对 于 入 侵 者 来 讲 ， 有 漏洞 的 CGI 程序 是 一 个 非 
常 有 吸引 力 的 目标 ， 因 为 这 些 程序 可 以 很 容易 的 定位 ， 同 时 以 特权 和 Web 服务 
器 软件 自身 的 权限 操作 。 入 侵 者 利用 有 漏洞 的 CGI 程序 修改 程序 与 数据 
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描 述 


Unicode 漏洞 


D 
8 


ISAPI Extension 
缓冲 区 溢出 


Unicode 为 每 个 字符 提供 了 一 个 唯一 的 编码 ， 无 论 何 种 平台 ， 无 论 何 种 程序 ， 
无 论 何 种 语言 。Unicode 标准 被 包括 微软 在 内 的 许多 供应 商 采纳 。 通过 向 IIS 服 
务 发 送 经 过 精心 改造 的 URL， 其 中 包括 有 问题 的 Unicode UTF-8 序列 ， 攻 击 者 
可 以 强制 服务 器 按照 给 定 的 字面 意思 ,“ 跨 出 ”目录 并 执行 任意 的 脚本 。 这 类 攻 
击 也 叫 作 目录 跨越 攻击 。 

在 Unicode 编码 中 ，/ 和 \ 分 别 等 价 于 9%2f 和 %5c。 然 而 ， 也 可 以 使 用 “overlong” 
次 序 重新 表达 这 些 字符 。“overlong” 次 序 可 以 使 Unicode 表示 方法 出 现 错误 
微软 的 IS 在 很 多 系统 上 应 用 , 当 IIS 安装 上 , 一 些 ISAPI 拓展 也 自动 的 安装 上 。 
ISAPI (Internet Services Application Programming Interface) 互联 网 服务 应 用 程 
序 接 口 允许 程序 员 通过 IIS 调用 动态 链接 库 。 一 些 动态 链接 库 ， 如 idq.dll 存在 
边界 检查 错误 ， 黑 客 通 过 向 这 些 动态 链接 库 输 入 超常 的 字符 串 进行 缓存 溢出 攻 
击 ， 从 而 控制 IS Web Server 


JS RDS exploit 
(Microsoft Remote 
Data Services) 
IIS 远程 数据 服 
务 漏洞 (微软 远 
程 数 据 服务 ) 


NETBIOS-unpro- 
tected Windows 
networking shares 
未 接受 保护 的 视 
窗 网 络 共享 


Information leak- 
age Via null session 
connections 

通过 匿名 登录 而 
产生 的 信息 漏洞 


NT 4.0 上 存在 IIS 的 Remote Data Services (RDS) 存在 漏洞 ， 攻 击 者 可 以 利用 
此 漏洞 ， 以 系统 管理 员 的 权限 远程 执行 命令 


服务 器 消息 块 《SMB) 协议 ， 也 被 称 为 通用 互联 网 文件 系统 (CIFS) 能 够 通过 
网 络 共 享 文件 。 连 接 在 互联 网 上 的 机 器 的 不 正确 的 配置 可 以 暴露 关键 的 系统 文 
件 或 给 竞争 对 手 以 所 有 文件 系统 的 访问 权 。 许 多 用 户 为 了 让 同事 或 外 部 访问 者 
方便 ， 给 网 络 用 户 以 磁盘 可 读 、 写 的 权限 ， 他 们 不 知道 这 样 做 也 给 黑客 攻击 提 
供 方便 。 比 如 ， 政 府 站 点 的 管理 员 为 了 让 其 他 部 门 方便 地 获得 其 软件 发 展 计划 
的 文件 ， 向 全 世界 开放 了 该 文件 可 读 的 权限 ， 两 天 内 ， 攻 击 者 也 发 现 了 这 个 共 
享 ， 并 获得 了 该 文件 。 

在 Windows 机 器 上 开放 共享 ， 不 但 可 能 造成 信息 失窃 ， 还 为 病毒 的 传播 提供 了 
条 件 

Null Session 〈 空 连接 ) 连接 也 称 为 匿名 登录 ， 这 种 机 制 允许 匿名 用 户 通过 网 络 
获得 系统 的 信息 或 建立 未 授权 的 连接 。 它 常 被 诸如 explorer.exe 的 应 用 来 列举 远 
程 服务 器 上 的 共享 。 在 Windows NT/2000 系统 中 , 许多 服务 运行 在 SYSTEM 账 
户 下 ， 在 2000 下 为 LocalSystem。System 账户 用 于 多 种 关键 的 系统 操作 ， 当 一 
台 机 器 需要 从 其 他 机 器 上 取得 系统 信息 ，SYSTEM 账户 就 会 与 那 台 机 器 建立 空 
连接 。 

SYSTEM 账户 具有 一 些 特权 并 且 没 有 口令 ， 你 不 能 以 SYSTEM 登录 系统 


Weak hashing in 
SAM (LM hash) 


虽然 多 数 的 Windows 用 户 不 再 需要 LAN Manager 的 支持 ， 但 在 Windows 
NT/2000 中 还 保留 着 对 LAN Manager 口令 散 列 的 默认 安装 。 因 为 LAN Manager 
使 用 一 种 弱 的 加 密 算法 , LAM Manager 加 密 的 口令 文件 可 以 在 很 短 的 时 间 内 被 
破解 。 其 主要 的 脆弱 性 表现 在 以 下 几 个 方面 。 

。 口令 都 被 凑 成 14 个 字符 。 

。 不 足 14 位 的 ， 用 空格 补 起 。 

。 全 部 转化 为 大 写字 母 。 

。 分 成 两 部 分 分 别 加 密 。 

这 意味 着 口令 破解 软件 只 要 破解 两 个 7 位 字符 的 口令 文件 ， 并 且 不 用 考虑 
小 写 
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续 表 
ID 名 称 描 述 
15 | 安全 策略 不 合理 | 安全 策略 不 合理 或 缺乏 安全 策略 


四 | 没有 窜 | 
4.4.2 ”信息 安全 弱点 获取 方法 


信息 安全 弱点 的 获取 可 以 有 多 种 方式 ， 例 如 ， 扫 描 工具 扫描 《Scanning)、 白 客 测试 
(Penetration Testing)、 人 工 评估 、 管 理 规范 文件 审核 、 人 员 面 谈 审 核 等 。 评 审 员 (专家 ) 
可 以 根据 具体 的 评估 对 象 、 评 估 目 的 选择 具体 的 弱点 获取 方式 。 一 般 采 取 面 谈 、 工 具 扫 
描 和 白 客 测试 相 结 合 的 方法 来 获取 资产 存在 弱点 列表 ， 并 根据 专家 经 验 进行 赋值 。 

信息 安全 安全 弱点 涵盖 了 信息 系统 中 的 主机 系统 ， 应 用 系统 ， 网 络 安 全 管理 等 多 个 
方面 的 问题 。 在 抽样 环境 中 ， 主 机 系统 存在 比较 严重 的 安全 弱点 。 由 于 抽样 环境 能 比较 
典型 地 反映 了 信息 系统 真实 的 状况 ， 因 此 可 以 将 此 结论 外 推 至 骨干 网 络 整体 信息 系统 中 
的 主机 ， 工 作 站 均 存在 比较 严重 的 安全 弱点 。 

信息 系统 的 安全 弱点 的 产生 原因 除了 主机 系统 自身 的 安全 弱点 以 外 ， 由 于 管理 层面 
的 不 完善 而 导致 的 安全 弱点 在 数量 和 严重 程度 上 亦 占 了 很 高 的 比例 。 

在 被 抽样 的 系统 中 ， 采 用 各 种 UNIX 和 Windows 系统 的 安全 弱点 都 比较 多 ， 而 且 都 
比较 严重 ， 这 与 信息 系统 上 的 主机 系统 大 多 缺乏 安全 配置 有 关 。 一 般 最 严重 的 问题 是 防 
火 墙 的 配置 和 管理 问题 ， 这 类 漏洞 会 直接 威胁 到 整个 网 络 的 安全 。 还 有 的 就 是 缓冲 区 远 
程 溢出 类 的 严重 弱点 ， 可 以 使 攻击 者 远程 获得 root 权限 ， 从 而 使 得 本 主机 操作 系统 、 应 
用 程序 和 所 附 数据 构成 致命 的 损坏 ， 并 可 能 安装 后 门 ， 此 部 分 对 应 的 资产 主要 为 主机 操 
作 系 统 、 应 用 程序 ， 另 外 ， 一 部 分 严重 漏洞 为 Password 管理 不 善 问 题 ，Password 为 空 或 
太 弱 都 可 以 使 攻击 者 轻易 远程 获得 部 分 权限 或 root 权限 ， 从 而 使 得 本 主机 操作 系统 、 应 
用 程序 和 所 附 数据 构成 致命 的 损坏 。 

主要 的 管理 弱点 主要 集中 在 安全 策略 、 安 全 组 织 、 访 问 控制 、 审 计 和 跟踪 、 业 务 连 
续 性 规划 等 几 个 方面 ， 应 该 在 这 些 方面 予以 加 强 。 

通过 顾问 访谈 、 人 工 评 估 、 渗 透 测 试 、 扫 描 相 结 合 ， 发 现 信息 系统 的 漏洞 数量 ， 但 
是 很 高 风险 漏洞 相对 较 少 ， 这 可 能 与 抽样 的 数目 较 少 有 关 。 这 些 漏洞 所 面临 的 威胁 发 生 
的 可 能 性 和 影响 程度 也 都 很 高 。 受 影响 系统 数量 虽然 不 多 ， 但 是 由 于 系统 的 重要 性 ， 信 
息 系 统 的 安全 状况 还 是 不 容 乐观 。 

从 弱点 的 影响 程度 来 讲 ， 严 重 的 弱点 ， 一 部 分 由 缓冲 区 远程 溢出 类 的 严重 漏洞 引 
起 ， 可 以 使 攻击 者 远程 获得 root 权限 ， 从 而 对 本 主机 操作 系统 、 应 用 程序 和 所 附 数 据 构 
成 致命 的 损坏 ， 此 部 分 对 应 的 资产 主要 为 主机 操作 系统 、 应 用 程序 。 另 外 ， 一 部 由 严重 
弱点 为 Password 管理 不 善 问题 , Password 为 空 或 太 弱 都 可 以 使 攻击 者 轻易 远程 获得 部 分 
权限 或 root 权限 ， 从 而 对 本 主机 操作 系统 、 应 用 程序 和 所 附 数据 构成 致命 的 损坏 。 这 些 
大 多 已 经 在 白 客 测试 部 分 进行 了 证 实 。 
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管理 层面 的 问题 ， 主 要 集中 在 安全 策略 、 安 全 组 织 、 访 问 控制 、 人 员 安 全 、 日 常 运 
行 管 理 等 几 个 方面 。 其 中 在 安全 策略 的 制定 、 推 行 、 复 核 与 修订 、 执 行情 况 审计 等 方面 ， 
安全 组 织 的 组 织 建设 、 新 系统 安全 检验 等 方面 ， 访 问 控制 的 口令 管理 、 权 限 分 配 、 外 部 
连接 等 方面 ， 人 员 安 全 的 安全 技能 培训 、 安 全 意识 培养 、 保 密 协 议 等 方面 ， 日 常安 全 管 
理 的 安全 事件 监控 、 发 现 、 响 应 、 处 理 和 配置 更 改 管理 等 方面 ， 主 机 安全 的 服务 最 小 化 
和 安全 补丁 等 方面 都 比较 薄弱 ， 这 些 问题 都 很 严重 。 


4.5 安全 风险 评估 及 分 析 


安全 风险 是 一 种 潜在 可 能 性 。 安 全 风险 的 概念 ， 风 险 值 计算 与 分 析 ， 风 险 管理 存在 
问题 的 分 析 等 风险 评估 的 策略 和 方法 是 本 节 介 绍 的 主要 内 容 。 


4.5.1 风险 的 概念 


风险 是 一 种 潜在 可 能 性 ， 是 指 某 个 威胁 利用 弱点 引起 某 项 资产 或 一 组 资产 的 损害 ， 
从 而 直接 地 或 间接 地 引起 企业 或 机 构 的 损害 。 因 此 ， 风 险 和 具体 的 资产 、 其 价值 、 威 胁 
等 级 以 及 相关 的 弱点 直接 相关 。 

从 上 述 的 定义 可 以 看 出 ， 风 险 评估 的 策略 是 首先 选 定 某 项 资产 、 评 估 资 产 价 值 、 控 
掘 并 评估 资产 面临 的 威胁 、 挖 掘 并 评估 资产 存在 的 弱点 、 评 估 该 资产 的 风险 ， 进 而 得 出 
整个 评估 目标 的 风险 。 


4.5.2 ”风险 值 计 算 与 分 析 


采用 下 面 的 算式 来 得 到 资产 的 风险 值 : 
风险 值 = 资产 价值 X 威 胁 影 响 X 威 胁 可 能 性 X 资 产 弱点 
极度 风险 发 生 的 可 能 性 非常 高 ， 后 果 严 重 ， 需 要 立即 采取 措施 来 处 理 。 一 般 信息 系 
统 资产 面临 的 极度 风险 中 大 部 分 是 由 技术 类 漏洞 引起 的 ， 这 类 风险 基本 上 都 是 可 以 避免 


的 ,之 所 以 存在 这 些 高 风险 的 技术 漏洞 ， 除 了 与 相关 技术 人 员 的 安全 意识 有 关 ， 重 要 的 
一 点 还 是 安全 技术 管理 没有 跟 上 。 


4.5.3 风险 管理 存在 问题 的 分 析 
从 抽查 的 评估 对 象 来 看 ， 信 息 系统 的 资产 中 ， 从 单个 资产 的 角度 来 看 风险 值 较 高 的 


几乎 都 集中 在 主机 、 操 作 系统 类 和 防火 墙 上 ， 而 其 他 设备 和 路 由 器 类 单个 资产 的 风险 值 
相对 较 低 。 在 这 些 高 风险 的 主机 系统 中 ， Solaris 操作 系统 的 风险 值 最 高 , 这 是 因为 Solaris 
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系统 的 默认 配置 不 够 安全 ， 并 且 管理 人 员 没有 及 时 打上 安全 补丁 ， 安 全 配置 和 主机 加 固 
方面 做 得 不 够 。 防 火 墙 的 风险 也 比较 大 ， 弱 点 非常 严重 ， 这 主要 是 因为 对 防火 墙 的 安全 
策略 管理 不 严格 造成 的 。 所 以 对 这 些 资产 的 保护 从 技术 上 得 到 较 好 的 解决 是 相对 容易 的 。 

信息 系统 没有 专门 的 安全 机 构 来 负责 计划 、 实 施 客户 的 信息 安全 管理 。 信 息 安全 的 
管理 规章 、 管 理 制度 不 健全 涵盖 范围 不 全 面 。 对 于 一 些 规定 的 规章 管理 制度 ， 执 行 的 力 
度 也 不 是 很 大 ， 比 如 ， 在 访谈 中 显示 对 网 络 中 重要 的 服务 器 和 网 络 设备 的 口令 都 采取 了 
强壮 的 安全 保护 措施 ， 但 是 在 实际 的 评估 过 程 中 还 是 发 现 了 很 多 弱 口 令 。 

在 人 员 方 面 ， 安 全 状况 存在 很 多 严重 的 问题 。 比 较 突出 的 问题 是 : 在 员工 职责 中 没 
有 定义 安全 角色 和 责任 ; 员工 没有 得 到 足够 的 有 关 安 全 的 培训 ， 也 没有 通过 相应 的 资质 
认证 ; 对 第 三 方 人 员 的 安全 管理 不 够 ， 控 制 力 不 足 等 。 这 些 问题 将 导致 即使 买 了 很 多 的 
安全 产品 也 不 能 有 效 地 改进 安全 状况 ， 不 能 及 时 正确 地 判断 和 处 理 安全 事件 ， 甚 至 在 事 
件 发 生 后 ， 仍 没有 警觉 ， 而 且 也 没有 好 的 办 法 和 手段 来 解决 问题 。 加 上 专职 的 安全 人 员 
不 够 ， 没 有 长 期 设立 的 安全 顾问 和 服务 商 进行 技术 支持 ， 造 成 一 些 安全 问题 无 法 得 到 及 
时 解决 ， 日 积 月 累 ， 将 造成 干净 百 孔 、 无 法 收拾 的 局 面 。 

目前 第 三 方 管理 的 问题 也 很 大 。 对 第 三 方 访问 信息 资源 权限 没有 合适 的 控制 ， 没 有 
对 第 三 方 申请 访问 权限 的 理由 和 访问 方式 ， 可 能 带 来 的 风险 进行 评估 。 但 目前 对 第 三 方 
没有 安全 和 保密 方面 的 协议 和 承诺 ， 和 他 们 的 合同 也 大 多 数 产品 售后 维护 合同 ， 没 有 明 
确 说 明 安全 控制 和 保密 方面 的 内 容 ， 并 不 是 责 权 明确 和 严谨 的 代 维 或 服务 外 包 合同 。 所 
以 即使 出 了 事 ， 也 没 法 用 合同 违约 或 法 律 的 手段 进行 追究 。 

一 般 安全 管理 制度 执行 情况 存在 不 足 ， 造 成 安全 制度 执行 不 到 位 的 原因 如 下 。 

一 是 由 于 安全 制度 没有 细 化 到 标准 和 操作 指导 等 规定 ， 只 给 出 框架 性 质 的 指导 ， 难 
以 执行 。 

二 是 执行 人 员 缺 乏 必要 的 技术 支持 和 技术 保障 。 

三 是 领导 层 缺少 有 效 的 手段 或 明确 的 流程 检查 安全 制度 的 执行 情况 ， 或 者 没有 明确 
的 检查 指标 。 

四 是 安全 制度 的 执行 情况 没有 与 绩效 考核 结合 起 来 ， 并 给 予 相应 的 奖励 或 惩罚 ， 没 
有 处 罚 规定 和 责任 追究 的 制度 ， 执 行人 员 没 有 压力 和 动力 。 

对 安全 制度 的 回顾 和 定期 复查 修订 也 应 该 进行 。 因 为 规章 制度 都 有 一 定 的 生命 周 
期 ， 随 着 形势 的 改变 而 不 再 完全 适用 ， 尤 其 是 技术 性 很 强 和 很 具体 的 安全 标准 规范 和 操 
作 流程 ， 生 命 周期 很 短 。 没 有 定期 地 由 相应 人 员 审 核 和 修订 ， 使 得 各 类 安全 制度 相对 于 
安全 现状 有 一 定 的 滞后 性 ， 甚 至 不 适用 ， 使 用 者 更 加 不 愿 遵 守 。 这 种 恶性 循环 将 为 安全 
工作 的 开展 造成 负面 影响 。 


4.6 ”信息 安全 风险 评估 方法 应 用 实例 


辽宁 电力 信息 安全 风险 评估 , 作为 信息 安全 示范 工程 的 关键 环节 , 在 周密 的 策划 下 ， 
在 全 体 参与 人 员 的 共同 努力 下 ， 使 现场 评估 过 程 顺利 完成 。 对 信息 资产 进行 分 类 ， 针 对 
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关键 资产 ， 进 行 了 管理 策略 和 技术 策略 访谈 、 相 关 策 略 文档 审核 、 网 络 和 主机 设备 的 脆 
弱 性 扫描 及 配置 检查 、 业 务 系统 评估 、 黑 客 攻击 测试 等 ， 全 面 、 客 观 地 收集 了 信息 安全 
现状 资料 ， 研 究 分 析 了 辽宁 电力 信息 系统 安全 现状 和 存在 的 各 种 安全 风险 ， 形 成 辽宁 省 
电力 有 限 公司 信息 安全 风险 评估 报告 ， 对 深入 开展 示范 工程 黄 定 了 坚实 的 基础 。 


4.6.1 信息 安全 风险 评估 目的 


通过 对 辽宁 电力 信息 系统 进行 安全 风险 评估 ， 第 一 ， 可 以 了 解 辽宁 电力 信息 系统 安 
全 现状 和 存在 的 各 种 安全 风险 ， 发 现 与 辽宁 电力 信息 系统 现 有 安全 策略 中 的 所 要 求 的 安 
全 目标 之 间 的 差距 ; 第 二 , 可 以 对 现 有 辽宁 电力 信息 安全 策略 进行 动态 调整 、 修 订 和 完善 ， 
丰富 企业 信息 系统 安全 策略 ; 第 三 ， 可 以 根据 安全 评估 的 结果 来 发 现 辽 宁 电 力 信息 系统 
中 存在 的 比较 迫切 的 安全 需求 ， 并 且 为 辽宁 电力 信息 系统 下 一 步 的 安全 建设 提供 参考 。 


4.6.2 ”信息 安全 风险 评估 范围 及 主要 内 容 


风险 评估 内 容 包括 资产 的 识别 与 赋值 、 威 胁 的 识别 与 赋值 、 弱 点 的 发 现 与 赋值 、 整 
体 风险 的 评估 ， 以 及 最 终 形成 报告 。 

这 次 评估 对 辽宁 电力 信息 系统 整体 进行 了 有 效 的 抽样 ， 所 抽样 的 信息 系统 和 资产 反 
映 辽 宁 电 力 信息 系统 的 总 体 特征 ， 构 成 本 次 的 评估 范围 。 

此 次 评估 的 工作 范围 如 下 。 

网 络 Intemet 出 口 : Cisco 路 由 器 、 核 心 交 换 机 : SSR8600、 拨 号 服务 器 : Cisco、 
MIS 系统 服务 器 、OA 系统 服务 器 、Intranet 应 用 服务 器 、 房 改 系统 、 白 客 渗透 对 象 的 选 
择 、IP 地 址 为 xx.xxx.x.xx 的 5 台 主 机 。 渗 透 性 测试 重点 在 系统 防火 墙 外 ， 也 就 是 从 公 网 
开始 进行 。 如 果 无 法 渗透 成 功 ， 则 选择 从 内 网 开始 。 测 试 时 将 以 信息 最 小 披露 为 输入 原 
则 发 起 。 测 试 以 不 影响 正常 业务 为 主 。 

参照 BS7799 对 信息 资产 的 描述 和 定义 , 将 信息 资产 按照 下 面 的 分 类 方法 进行 分 类 。 
辽宁 电力 信息 系统 安全 评估 将 信息 资产 的 评估 重点 放 在 同 信息 安全 直接 相关 的 信息 资产 
上 面 ， 对 其 他 资产 不 进行 重点 评估 。 

资产 价值 用 于 反映 某 个 资产 作为 一 个 整体 的 价值 ， 综 合 了 机 密 性 、 完 整 性 和 可 用 性 
3 个 属性 。 根 据 资产 完整 性 属性 的 不 同 ， 将 它 分 为 5 个 不 同 的 等 级 ， 分 别 对 应 资产 在 机 
密 性 方面 的 价值 或 者 在 机 密 性 方面 ， 在 完整 性 方面 的 价值 或 者 在 完整 性 方面 ， 在 可 用 性 
方面 的 价值 或 者 在 可 用 性 方面 ， 受 到 损失 时 对 企业 或 组 织 的 影响 。 

通常 ， 考 察 实 际 经 验 ，3 个 安全 属性 中 最 高 的 一 个 对 最 终 的 资产 价值 影响 最 大 。 换 
而 言 之 ， 整 体 安全 属性 的 赋值 并 不 随 着 3 个 属性 值 的 增加 而 线性 增加 ， 较 高 的 属性 。 


4.6.3 ”信息 安全 风险 评估 采用 工具 及 方法 


对 评估 范围 内 的 主机 和 设备 采用 除了 DOS 评估 项 以 外 的 全 策略 扫描 ， 全 面 地 对 企 
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业 信息 网 网 络 进行 安 全 评估 。 不 采用 DOS 评估 项 是 基于 评估 的 最 小 影响 性 原则 ，DOS 


评估 造成 客户 网 络 
对 操作 系统 和 


扫描 策略 


L2 Classification 
分 类 

L2 Database Disco- 
Very 数据 库 挖掘 


和 主机 凑 痪 的 可 能 性 较 大 。 
应 用 系统 将 采取 表 4-18 所 示 的 扫描 策略 进行 。 


表 4-18 ”操作 系统 和 应 用 系统 扫描 评估 策略 


包括 提供 目标 系统 信息 的 检查 ， 可 用 来 识别 操作 
系统 

包括 识别 目标 系统 上 的 应 用 服务 器 的 检查 ， 例 如 Web 
服务 器 程序 

查找 整个 网 络 可 用 的 数据 库 (Microsoft SQL Server、 
Oracle 或 Sybase Adaptive Server) 


功能 /作用 
获取 操作 系统 
信息 
获取 应 用 服务 
基本 信息 
获取 数据 库 基 
本 信息 


危险 等 级 


L3 NT Server & 
Application NT 服务 
器 和 应 用 


L3 UNIX Server & 


& Application NT/ 
UNIX 服务 器 和 应 用 


运行 众所周知 的 检查 (参见 附录 1), 不 需要 专门 的 技 
能 或 攻击 程序 例如， 口令 为 空 的 已 知 账号 )， 将 直 
接 或 间接 地 危及 系统 安全 (可 能 危及 “Administrator” 
(管理 员 ) 的 安全 )。 

直接 危及 系统 安全 提供 一 个 验证 过 的 已 命名 管道 会 
话 ; 间接 危及 系统 安全 可 允许 攻击 者 远程 列 出 用 户 或 
共享 。 这 个 策略 也 包括 检测 系统 是 否 已 经 被 危及 安全 
的 检查 ， 还 包括 一 些 用 来 识别 系统 版 本 的 检查 
运行 众所周知 的 检查 ， 不 需要 专门 的 技能 或 攻击 程 
序 , 将 导致 直接 或 间接 地 危及 系统 安全 (可 能 危及 root 
的 安全 )。 直 接 危及 系统 安全 提供 一 个 交互 式 的 登录 
会 话 ， 间 接 危 及 系统 安全 通常 意味 着 可 以 通过 使 用 字 
典 破解 以 获得 用 于 分 析 的 信息 。 这 个 策略 也 包括 检测 
系统 是 否 已 经 被 危及 安全 的 检查 ， 也 包括 一 些 用 来 识 
别 系统 类 型 的 检查 。 因 此 一 些 组 件 仅 针 对 特殊 系统 进 
行 检查 ， 否 则 被 禁用 

包括 所 有 来 自 “L3 NT/UNIX Server & Application” 策 
略 的 检查 ， 以 及 基于 “brute force” 账 号 猜测 的 攻击 、 
需要 组 件 工具 的 漏洞 或 者 复杂 的 多 级 攻击 的 检查 。 这 
个 策略 也 进行 操作 系统 补丁 的 测试 


通过 外 部 扫描 
检查 操作 系统 
常见 安全 漏洞 
的 存在 


通过 外 部 扫描 
检查 操作 系统 
常见 安全 漏洞 
的 存在 


针对 操作 系统 
漏洞 初步 攻击 
尝试 


L5 NT Server & 


包括 所 有 来 自 “L4 NT Server” 策 略 的 检查 ， 以 及 对 系 
统 配置 问题 的 测试 ， 诸 如 审计 级 别 和 用 户 特 权 级 别 


操作 系统 整体 
安全 漏洞 测试 


L5 UNIX Server & 
Application UNIX 服 
务 器 和 应 用 


包括 所 有 来 自 “L4 UNIX Server” 策 略 的 检查 ， 以 及 
对 提供 给 攻击 者 有 用 信息 的 配置 的 检查 、 对 于 服务 器 
可 能 被 错误 配置 征兆 的 检查 或 者 对 需要 攻击 者 有 非 
常 高 专业 技术 的 风险 的 检查 。 

这 个 策略 也 对 那些 可 安全 测试 的 拒绝 服务 进行 测试 。 
该 检查 通过 使 用 不 会 导致 拒绝 服务 的 检查 来 进行 


网 络 设备 的 扫 
的 扫描 策略 ， 如 表 


操作 系统 整体 
安全 漏洞 测试 


描 评估 将 采用 Intemet Scanner 进行 ， 采取 的 策略 为 专门 针对 网 络 设备 


4-19 所 示 。 
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表 4-19 网 络 设备 扫描 评估 策略 
功能 /作用 

包括 提供 目标 系统 信息 的 检查 , 可 用 来 识别 操作 | 获取 网 络 设备 操作 系 
系统 统 信 息 
L2 Classification ”| 包括 识别 目标 系统 上 的 应 用 服务 器 的 检查 , 例如 | 获取 网 络 设备 基本 应 
分 类 Web 管理 服务 器 程序 ，Telnet 服务 器 等 用 服务 基本 信息 
运行 众所周知 的 检查 参见 附录 1)， 不 需要 专 
门 的 技能 或 攻击 程序 , 将 导致 直接 或 间接 地 危及 


L3 Router & Switch 系统 安全 。 比如; 直接 危及 系统 安全 提供 一 个 交 检查 网 络 设备 目前 存 


路 由 器 和 交换 机 | 互 式 的 登录 会 话 ; 间接 危及 系统 安全 通常 意味 着 | 在 安全 漏洞 


可 以 通过 使 用 字典 破解 以 获得 用 于 分 析 的 信息 

包括 所 有 来 自 “L3 Router & Switch” 策 略 的 检 

查 , 以 及 对 现存 自动 攻击 程序 的 检查 , 也 利用 通 

L4 Router & Switch | 过 攻击 者 要 求 更 详细 的 知识 。 检查 网 络 设备 的 整体 
路 由 器 和 交换 机 ”| 这 个 策略 也 包括 有 限 数 量 的 可 安全 执行 的 拒绝 | 安全 

服务 检查 (针对 某 些 特定 的 版 本 的 网 络 设备 )。 

使 用 检查 将 不 会 导致 拒绝 服务 的 情况 


数据 库 扫描 器 (Database Scanner) 通过 建立 、 依 据 、 强 制 执行 安全 策略 来 保护 数据 
库 应 用 的 安全 。 它 可 以 自动 识别 数据 库 系统 潜在 的 安全 问题 ， 包 括 从 脆弱 的 口令 到 2000 
年 兼容 性 问题 ， 乃 至 特洛伊 木马。 数据 库 扫 描 器 内 置 知 识 库 ， 可 以 产生 通俗 易 懂 的 报告 
来 表示 安全 风险 和 弱点 ， 对 违反 和 不 遵循 策略 的 配置 提出 修改 建议 。 

Database Scanner 支持 主流 的 数据 库 系 统 。 

Microsoft SQL Server 6x、7x 和 8.x 

Sybase Adaptive Server 11.x 

Oracle 8i、8.0 或 7.3 

在 扫描 方式 下 ， 数 据 库 扫 描 器 支持 以 下 两 种 扫描 方式 。 


1. 完全 扫描 《Full Audit Scans) 


Database Scanner 以 数据 库 管 理 员 特权 或 其 他 用 户 特权 身份 对 被 扫描 的 数据 库 进 行 
全 面 的 检测 ， 包 括 对 口令 强度 的 全 面 测 试 ， 以 评估 数据 库 和 操作 系统 是 否 符合 企业 的 安 
全 策略 。 


2. 渗透 性 检测 (Penetration Testing) 


采用 黑客 攻击 数据 库 的 技术 和 方法 ， 在 不 知道 数据 库 口令 的 情况 下 ， 尝 试 “ 入 侵 ” 
数据 库 系 统 。 渗 透 性 检测 方式 还 可 以 利用 Database Scanner 与 Internet Scanner 的 集成 特 
性 和 强大 的 检测 功能 执行 更 完善 的 检测 ， 它 通过 探测 操作 系统 的 安全 性 揭示 一 些 在 检测 
数据 库 本 身 时 无 法 发 现 的 漏洞 。 

数据 库 扫 描 器 的 漏洞 分 类 如 表 4-20 所 示 。 
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系统 授权 系统 完整 性 


SQL Server 


。 孤立 的 用 户 标识 

。 错误 的 用 户 标识 

。 系统 默认 登录 账号 

。 相同 的 机 器 名 和 用 户 名 
。 登录 方式 

。 用 户 登 录 

。 注册 表 中 的 口令 


。 登录 攻击 

。 过 期 账号 

。 口 令 有 效 期 

。 口令 强度 

。 单独 用 户 ID 

。 错误 的 用 户 ID 

。 被 锁 账 户 

。 命令 行 接口 

。 当前 连接 

。 登录 攻击 

。 过 期 账号 

。 口令 有 效 期 

。 口令 强度 

。 失败 的 登录 尝试 

。 过 多 的 DBA 登录 
。 操作 系统 认证 前 级 
。 远程 操作 系统 信任 认证 
。 登录 加 密 设置 

。 侦 听 明文 口令 

。 远程 登录 口令 文件 
。 数据 库 连 接口 令 加 密 
。 数据 库 连 接口 令 

。 口令 上 锁 及 恢复 时 间 


系统 信息 表 更 新 选项 
系统 信息 表 权限 

用 户 标识 和 对 象 组 权限 
权限 声明 

存储 过 程 之 外 的 注册 信息 
存储 过 程 之 外 的 OLE 自 
动 化 

Xp_cmdshell 配置 
。 额外 的 存储 过 程 
存储 过 程 启动 


登录 时 间 超 时 

未 授权 的 对 象 所 有 者 
远程 登录 和 服务 器 
系统 表 修改 选项 
系统 信息 表 权 限 

用 户 ID 和 组 对 象 权 限 
权限 声明 

远程 存 取 


登录 时 间 超 时 

账号 权限 

任务 权限 
管理 员 许 可 的 任务 

使 用 CONNECT 命令 默 
认 任 务 
管理 员 特权 选项 


。 侦 听 文件 许可 

。 PUBLIC 对 象 权限 
。 PUBLIC 系统 特权 
。 数据 字典 


。 Y2K 兼容 


。 Windows NT 补丁 和 修正 程序 
。 SQL Server 补丁 

。 Windows NT 磁盘 分 区 

。 Windows NT 文件 权限 /所 有 者 
。 MSSQL Server 服务 

。 备份 过 程 

。 备份 设备 

。SQL 邮件 

。 复 制 

。 警告 和 计划 任务 

。 Web 任务 

。 跟踪 标志 

。 数据 设备 

。 数据 库 

。 存储 过 程 的 加 密 、 触发 子 和 视图 
。 网 络 协 议 

。 系统 信息 表 更 新 选项 

。 用 户 标识 和 对 象 组 权限 


。Y2K 兼容 

。 特洛伊 木马 
。 审核 

。 审核 配置 

。 最 大 队列 大 小 


。 审核 跟踪 定位 

。 命令 审核 

。 计划 对 象 审核 

。 复合 资源 使 用 限制 

。 并 发 事件 资源 限制 

。 连接 时 间 资 源 使 用 限制 
。 CPU/ 调 用 资源 使 用 限制 
。 CPU/ 任 务 资源 使 用 限制 
。 文件 组 

。 文件 所 有 者 

。 orapw 的 文件 权限 
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续 表 
。 操作 系统 文件 改变 
。 侦 听 能 力 
。 空闲 时 间 资 源 使 用 限制 
。 私有 SGA 资源 使 用 限制 


。 SQL92 SECURITY 
。 UTIL FILES 权限 
。UTIL FILE_ DIR 设置 
。 查看 CHECK 选项 


Database Scanner 扫描 、 检 测 的 安全 弱点 涉及 三 个 方面 。 

(1) 认证 (Authentication) 

数据 库 通 过 认证 机 制 验证 用 户 所 声称 的 身份 是 否 合法 ， 此 类 检查 项 主要 用 于 检查 数 
据 库 的 认证 机 制 的 设置 是 否 合理 、 安 全 。 

(2) 授权 (Authorization) 

数据 库 通 过 授权 机 制 授予 合法 用 户 对 数据 库 系统 特定 资源 拥有 合法 权限 。 此 类 检查 
项 主要 用 于 检查 认证 机 制 的 设置 是 否 合理 、 安 全 。 

(3) 系统 完整 性 (System Integrity) 

检查 系统 的 设置 是 否 有 非 正常 的 变化 、 是 否 有 特洛伊 木马 、2000 年 问题 、 补 丁 等 。 

Database Scanner 漏洞 检测 的 主要 范围 如 下 。 

(1) 口令 ， 登 录 和 用 户 一 一 检查 口令 长 度 ， 检 查 有 登录 权限 的 过 去 用 户 ， 检 查 用 户 
名 的 信任 度 。 

(2) 配置 一 一 验证 是 否 具 有 潜在 破坏 力 的 功能 被 允许 ， 并 建议 是 否 需 要 修改 配置 ， 
如 回信 、 发 信 、 直 接 修改 、 登 录 认 证 、 一 些 系统 启动 时 存储 的 过 程 、 报 警 和 预 安 排 的 任 
务 、Web 任务 、 跟 踪 标 识 和 不 同 的 网 络 协议 。 

(3) 安装 检查 一 一 提示 需要 客户 打 补 丁 及 补丁 的 热 链接 。 

(4) 权限 控制 一 一 检查 那些 用 户 有 权限 得 到 存储 的 过 程 及 何 时 用 户 能 未 授权 存 取 
Windows NT 文件 和 数据 资源 。 它 还 能 检查 “特洛伊 木马 ”程序 的 存在 。 

数据 库 扫 描 评估 将 采取 表 4-21 所 示 的 评估 策略 。 


表 4-21 数据 库 系 统 扫描 评估 策略 
CheckRolePWExist 检查 角色 口令 
CheckPasswordStrength 检查 口令 强度 
CheckDefAcctPwd 检查 默认 账号 和 口令 


CheckDefaultSAPLogins 检查 默认 SAP 口令 


CheckDefTS 检查 默认 表 长 度 
CheckForExpiredPW 检查 口令 过 期 时 间 
CheckForLoginAttacks 检查 容易 猜测 的 口令 
CheckStaleLogins 检查 过 期 账号 
CheckLogonHours 检查 允许 登录 的 时 间 
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评估 内 容 简单 说 明 
CheckNonStandardDBA 检查 DBA 角色 的 用 户 
CheckConnectRole 检查 CONNECT 角色 的 使 用 
CheckActiveLogins 检查 已 登录 的 账号 
CheckWithGrantOption 检查 WithGrant 特权 
CheckAudPerms 检查 审计 表 的 权限 
CheckUtIFilePerm 检查 UTL FILE_DIR 包 的 权限 
CheckLinkEncrypted 检查 database links 的 口令 是 否 为 明文 
CollectOSUsersWithDBAPriv 检查 OS DBA 账号 
CheckAgentPatch 检查 是 否 安装 了 intelli agent 的 补丁 
CheckDefVerFunc 检查 默认 的 口令 验证 功能 
CheckSysPrivWithAdmin 检查 WITH ADMIN 系统 权限 
CheckPublicPrivileges 检查 赋予 PUBLIC 的 系统 权限 
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检查 审计 表 的 表 空 间 
检查 审计 数据 


检查 ORA_ENCRYPT LOGIN 变量 
检查 并 发 会 话 的 限制 
检查 连接 时 间 的 限制 


检查 对 象 的 审计 
检查 profile 文件 是 否 可 用 
检查 SQL92 的 安全 设置 


CheckAuditStmt 检查 语句 审计 


CheckProfileCPUCall 检查 每 次 调用 的 CPU 使 用 限制 


CheckProfileCPUSession 检查 每 次 会 话 的 CPU 使 用 限制 


检查 对 登录 失败 的 限制 次 数 


采用 了 基于 网 络 的 IDS 产品 Network Sensor， 不 改变 网 络 拓扑 ， 不 需要 在 任何 业务 
主机 上 安装 任何 软件 。 在 交换 的 环境 下 ，IDS 需要 在 交换 机 上 做 端口 映射 ， 电力 企 业 信 
息 系 统 上 业务 系统 采用 的 Alteon AD3、Cisco C atalyst 4003、Cisco Catalyst 2924 都 有 端 
口 映射 的 功能 ， 如 果 选 定 的 接 入 点 交换 机 没有 端口 映射 功能 或 者 没有 空余 端口 ， 则 可 以 
通过 在 交换 机 接 入 口 增加 一 个 Hub 来 接 入 IDS。 

为 防止 在 扫描 过 程 中 出 现 的 异常 的 情况 ， 所 有 被 评估 系统 均 应 在 被 评估 之 前 做 一 次 
完整 的 系统 备份 或 者 关闭 正在 进行 的 操作 ， 以 便 在 系统 发 生 灾难 后 及 时 恢复 。 为 了 在 事故 
发 生 后 尽快 恢复 系统 ， 建 议 对 评估 对 象 系统 做 全 备份 ， 即 备份 硬盘 上 的 所 有 数据 和 配置 。 
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4.6.4 信息 安全 威胁 评估 结果 及 分 析 


评估 安全 威胁 的 统计 列表 ， 如 表 4-22 所 示 。 


表 4-22 评估 安全 威胁 的 统计 列表 
威胁 可 能 性 值 


泄密 
非 授权 访问 
远程 溢出 攻击 


滥用 
无 法 规范 安全 管理 
密码 猜测 攻击 


温 
病 


误 操 作 

恶意 代码 和 病毒 

无 法 监控 或 审计 

拒绝 服务 攻击 

不 能 或 错误 的 响应 和 恢复 
伪造 和 欺骗 

法 律 纠纷 

安全 工作 无 法 推动 
远程 文件 访问 


各 | 薄 | 长 

EI 
半 | 涯 | 于 
台 | 出 | 又 
等 
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从 表 4-22 中 可 以 看 出 发 生 的 最 多 的 威胁 是 侦查 、 泄 密 、 非 授权 访问 等 几 种 。 其 中 侦 
查 主要 为 攻击 尝试 ， 扫 描 等 难于 避免 的 行为 ， 可 以 选择 接受 。 一 些 发 生 频 率 高 又 严重 的 
威胁 主要 是 由 于 主机 缺乏 安全 配置 和 弱 口 令 引 起 。 

对 安全 威胁 可 能 性 作 统计 ， 表 4-23 中 的 威胁 可 能 性 最 高 为 4， 意 味 着 发 生 概率 非常 
高 ， 属 于 不 可 避免。 


表 4-23 ”安全 威胁 可 能 性 统计 表 


威 ” 胁 威胁 到 的 资产 数目 | 威胁 影响 值 威胁 可 能 性 值 
侦察 | 108 2 4 
滥用 24 多 4 


从 表 4-23 中 可 以 看 到 ， 侦 察 、 滥 用 这 两 种 威胁 发 生 的 可 能 性 很 高 ， 但 是 这 两 种 威胁 
的 影响 不 是 很 大 (严重 性 不 高 )。 
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最 严重 威胁 的 统计 列表 ， 如 表 4-24 的 威胁 影响 值 为 4， 即 资产 可 能 会 全 部 损失 ， 或 
造成 资产 不 可 使 用 。 意 味 着 威胁 造成 影响 的 严重 程度 非常 高 ， 引 起 灾难 性 的 后 果 。 


表 4-24 最 严重 威胁 的 统计 列表 
| 了 提升 | 2 | 4 | ;， | 


从 表 4-24 可 以 看 出 ， 威 胁 严重 性 最 大 的 是 远程 溢出 攻击 和 权限 提升 等 几 种 入 侵 方 
式 ， 会 造成 主机 被 完全 控制 ， 可 能 会 引起 业务 中 断 的 后 果 。 

最 严重 的 威胁 主要 来 自 远程 溢出 攻击 和 权限 提升 方面 ， 主 要 是 由 白 客 攻击 测试 这 种 
评估 方式 发 现 。 安 全 审计 对 应 的 资产 主要 为 辽宁 电力 公司 整体 的 网 络 信 息 系统 ， 人 工 评 
估 和 白 客 攻击 测试 对 应 的 资产 主要 为 具体 的 主机 系统 和 应 用 程序 。 所 以 受到 最 严重 的 威 
胁 的 相关 资产 主要 是 主机 系统 和 应 用 程序 存在 致命 的 安全 弱点 和 信息 系统 网 络 安全 体系 
和 管理 不 够 完善 而 引起 。 

从 威胁 影响 程度 来 讲 ， 严 重 的 威胁 ， 主 要 为 缓冲 区 远程 溢出 类 的 严重 漏洞 引起 ， 它 
可 以 使 攻击 者 远程 获得 root 权限 ， 从 而 对 本 主机 操作 系统 、 应 用 程序 和 所 附 数据 构成 至 
命 的 损坏 ， 此 部 分 对 应 的 资产 主要 为 主机 操作 系统 、 应 用 程序 。 另 外 ， 还 有 一 部 分 严重 
威胁 为 Password 管理 不 善 问题 , Password 为 空 或 太 简单 都 可 以 使 攻击 者 轻易 远程 获得 部 
分 权限 或 root 权限 ， 从 而 使 得 本 主机 操作 系统 、 应 用 程序 和 所 附 数 据 构 成 致命 的 损坏 。 
还 有 一 部 分 是 因为 服务 器 系统 管理 不 善 所 致 ， 比 如 ， 多 数 服务 器 都 没有 及 时 打上 操作 系 
统 提 供 商 发 布 的 安全 补丁 ， 还 有 大 多 数 的 Windows 服务 器 都 存在 可 以 建立 空 会 话 的 漏 
洞 ， 这 些 大 多 数 的 威胁 都 已 经 在 白 客 测试 和 人 工 评估 中 进行 了 证 实 。 

对 于 有 可 能 使 攻击 者 获得 极 高 权限 〈 如 得 到 root 权限 的 安全 威胁 ， 攻 击 者 可 能 在 
获得 root 权限 以 后 ， 再 利用 该 主机 作为 跳板 继续 向 网 内 其 他 机 器 进行 渗透 从 而 造成 更 大 
的 损失 ， 比 如 ， 攻 击 者 在 某 台 主机 上 取得 管理 员 权限 以 后 ， 就 可 能 在 上 面 安装 用 于 窃听 
的 程序 造成 大 量 的 口令 泄露 ， 引 发 极 大 的 安全 事故 。 可 见 在 一 个 规模 较 大 的 网 络 上 只 要 
有 一 台 存 在 重大 安全 隐患 的 主机 就 可 能 危及 到 整个 网 络 的 安全 。 从 威胁 事件 树 的 角度 来 
分 析 ， 这 些 威胁 可 以 引起 一 连 串 的 威胁 ， 比 如 阐述 数据 破坏 、 算 改 和 删除 ， 伪 造 和 欺骗 ， 
业务 中 断 ， 法 律 纠纷 和 政治 风险 等 后 续 的 威胁 ， 后 果 不 堪 设想 。 

这 些 威胁 产生 的 根源 还 是 管理 问题 ， 如 安全 策略 和 规章 制度 不 完善 ， 人 员 安 全 素质 
和 安全 意识 不 够 ， 安 全 组 织 不 够 健全 等 。 

总 体 而 言 ， 辽 宁 电力 信息 系统 当前 网 络 安全 面临 的 威胁 比较 严重 ， 并 且 目 前 还 未 采 
取 有 效 的 措施 来 消除 这 些 安全 威胁 ， 应 该 尽早 采取 措施 来 抵御 这 些 安全 威胁 。 


4.6.5 ”信息 安全 弱点 评估 结果 及 分 析 


弱点 的 获取 可 以 有 多 种 方式 例如 , 扫描 工具 扫描 (Scanning 和 》 白 客 测试 (Penetration 
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Testing)、 人 工 评估 、 管 理 规范 文件 审核 、 人 员 面 谈 审 核 等 。 评 审 员 (专家 ) 可 以 根据 具 
体 的 评估 对 象 、 评 估 目 的 选择 具体 的 弱点 获取 方式 。 经 过 研究 ， 本 项 目 将 采取 面谈 、 工 
具 扫 描 和 白 客 测试 相 结 合 的 方法 来 获取 资产 存在 弱点 列表 ， 并 根据 专家 经 验 进行 赋值 。 

辽宁 电力 信息 系统 在 这 次 安全 弱点 的 评估 中 显现 出 了 较 多 的 安全 问题 。 这 些 安全 弱 
点 涵盖 了 信息 系统 中 的 主机 系统 、 应 用 系统 、 网 络 安全 管理 等 多 个 方面 的 问题 ， 因 此 这 
些 安全 弱点 在 总 体 上 体现 了 辽宁 电力 信息 系统 当前 的 安全 状态 。 

(1) 在 抽样 环境 中 ， 主 机 系统 存在 比较 严重 的 安全 弱点 。 由 于 抽样 环境 能 比较 典型 
地 反映 信息 系统 真实 的 状况 ， 因 此 可 以 将 此 结论 外 推 至 骨干 网 整体 信息 系统 中 的 主机 ， 
工作 站 均 存 在 比较 严重 的 安全 弱点 。 

(2) 信息 系统 的 安全 弱点 的 产生 原因 除了 主机 系统 自身 的 安全 弱点 以 外 ， 由 于 管理 
层面 的 不 完善 而 导致 的 安全 弱点 在 数量 和 严重 程度 上 亦 占 了 很 高 的 比例 。 

(3) 在 被 抽样 的 系统 中 ， 采 用 各 种 UNIX 和 Windows 系统 的 安全 弱点 都 比较 多 ， 而 
且 都 比较 严重 ， 这 与 信息 系统 上 的 主机 系统 大 多 缺乏 安全 配置 有 关 。 

在 辽宁 电力 信息 系统 安全 弱点 中 ， 由 于 管理 层面 的 安全 弱点 而 引发 的 技术 层面 的 安 
全 弱点 占有 比较 高 的 比例 。 

技术 类 严重 弱点 列表 ， 如 表 4-25 所 示 。 


表 4-25 技术 类 严重 弱点 统计 列表 


漏洞 编码 弱点 名 称 简要 描述 严重 程度 
i 存在 因为 测试 而 打开 防火 墙 端口 的 | 存在 因为 测试 而 打开 防火 墙 端口 的 
情况 情况 。 可 能 入 侵 ， 并 留 下 后 门 
i 内 核 本 地 缓冲 溢出 ， 可 以 用 黑客 工 


属于 超级 用 户 组 的 用 户 的 口令 易于 
ISONE _760 | 存在 弱 口 令 超级 用 户 猜测 ， 或 与 用 户 名 相同 ， 或 为 空 4 
数据 库 系 统 没有 更 改 系统 安装 时 的 | 、， 
ISONE 194 默认 的 超级 用 户口 令 访问 控制 4 


表 4-25 中 所 有 漏洞 的 赋值 为 4。 可 以 看 出 ， 最 严重 的 问题 是 防火 墙 的 配置 和 管理 问 
题 , 这 类 漏洞 会 直接 威胁 到 整个 网 络 的 安全 。 还 有 的 就 是 缓冲 区 远程 溢出 类 的 严重 弱点 ， 
可 以 使 攻击 者 远程 获得 root 权限 ， 从 而 对 本 主机 操作 系统 、 应 用 程序 和 所 附 数据 构成 至 
命 的 损坏 ， 并 可 能 安装 后 门 ， 此 部 分 对 应 的 资产 主要 为 主机 操作 系统 、 应 用 程序 ， 另 外 ， 
一 部 分 严重 漏洞 为 Password 管理 不 善 问题 Password 为 空 或 太 弱 都 可 以 使 攻击 者 轻易 远 
程 获得 部 分 权限 或 root 权限 ， 从 而 对 本 主机 操作 系统 、 应 用 程序 和 所 附 数 据 构成 致命 的 
损坏 。 

管理 类 严重 弱点 列表 ， 如 表 4-26 所 示 。 


表 4-26 管理 类 严重 弱点 统计 列表 


By 设立 由 高 级 管 二 和 和 信息 安 会 安 
ne 
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续 表 


漏洞 编码 弱点 名 称 

没有 实施 业务 连续 性 管理 程序 ， 预 防 和 恢复 控制 相 结 合 ， 将 
灾难 和 安全 故障 (可 能 是 由 于 自然 灾害 、 事 故 、 设 备 故障 和 
蓄意 破坏 等 引起 ) 造成 的 影响 降低 到 可 以 接受 的 水 平 。 没 有 
足够 等 级 的 容 灾 系 统 

日 志 控制 措施 没有 针对 性 地 防止 非法 更 改 和 操作 问题 ， 包 


ISONE 272 


2 括 : 正在 停 用 日 志 记录 工具 ; 对 所 记录 的 消息 类 型 进行 更 改 ; 
= 正在 编辑 或 删除 日 志文 件 和 日 志文 件 介质 即将 填 满 ， 或 者 无 

法 记录 事件 ， 或 者 重 写 

ISONE 26 | 没有 专门 的 机 构 来 负责 计划 、 实 施 客户 的 信息 安全 管理 安全 组 织 

ISONE 238 | 对 恶意 攻击 和 非法 滥用 行为 ， 没 有 监测 、 发 现 和 警报 机 制 ”| 访问 控制 


ISONE 189 | 当 员工 工作 变更 或 离职 时 ， 没 有 立即 取消 其 访问 权限 访问 控制 


从 表 4-26 可 以 看 出 ， 主 要 的 管理 弱点 主要 集中 在 安全 策略 、 安 全 组 织 、 访 问 控制 、 
审计 和 跟踪 、 业 务 连 续 性 规划 等 几 个 方面 ， 应 该 在 这 些 方面 予以 加 强 。 
安全 弱点 等 级 分 布 分 析 如 表 4-27 所 示 。 


表 4-27 安全 弱点 等 级 分 布 分 析 表 


机 点 严重 程度 资产 发 现 弱点 数量 弱点 严重 程度 资产 发 现 弱点 数量 
| 


安全 弱点 等 级 分 析 分 布 图 如 图 4-1 所 示 。 


4% 


21% 


40% 
图 4-1 安全 弱点 等 级 分 析 分 布 图 


通过 顾问 访谈 、 人 工 评估 、 渗 透 测试 、 扫 描 相 结 合 ， 我 们 发 现 辽 宁 电力 信息 系统 的 
漏洞 数量 较 多 ， 共 有 273 条 ,但 是 很 高 风险 漏洞 相对 较 少 ， 占 系统 所 有 漏洞 总 数 的 4%， 
这 可 能 与 抽样 的 数目 较 少 有 关 。 这 些 漏洞 所 面临 的 威胁 发 生 的 可 能 性 和 影响 程度 也 都 很 
高 。 受 影响 系统 数量 虽然 不 多 ， 但 是 由 于 系统 的 重要 性 ， 信 息 系统 的 安全 状况 还 是 不 容 
乐观 。 

从 技术 类 弱点 来 说 ， 通 过 人 工 评 估 ， 扫 描 和 白 客 渗透 测试 ， 发 现 一 些 高 风险 弱点 
造成 威胁 的 可 能 性 非常 大 ， 而 且 非 常 容易 应 用 ， 非 常 的 流行 ， 比 如 Solaris 系统 上 的 
telnetd/login 远程 溢出 、 本 地 溢出 等 ， 希 望 引起 注意 。 
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从 弱点 的 影响 程度 来 讲 ， 严 重 的 弱点 ， 一 部 分 为 缓冲 区 远程 溢出 类 的 严重 漏洞 引 
起 ， 可 以 使 攻击 者 远程 获得 root 权限 ， 从 而 使 得 本 主机 操作 系统 、 应 用 程序 和 所 附 数 据 
构成 致命 的 损坏 ， 此 部 分 对 应 的 资产 主要 为 主机 操作 系统 、 应 用 程序 。 另 外 ， 一 部 分 严 
重 弱 点 为 Password 管理 不 善 问题 ，Password 为 空 或 太 弱 都 可 以 使 攻击 者 轻易 远程 获得 部 
分 权限 或 root 权限 ， 从 而 使 得 本 主机 操作 系统 、 应 用 程序 和 所 附 数据 构成 致命 的 损坏 。 
这 些 大 多 已 经 在 白 客 测试 部 分 进行 了 证 实 。 

管理 层面 的 问题 ， 主 要 集中 在 安全 策略 、 安 全 组 织 、 访 问 控制 、 人 员 安 全 、 日 常 运 
行 管理 等 几 个 方面 。 其 中 在 安全 策略 的 制定 、 推 行 、 复 核 与 修订 、 执 行情 况 审计 等 方面 ， 
安全 组 织 的 组 织 建设 、 新 系统 安全 检验 等 方面 ， 访 问 控制 的 口令 管理 、 权 限 分 配 、 外 部 
连接 等 方面 ， 人 员 安 全 的 安全 技能 培训 、 安 全 意识 培养 、 保 密 协 议 等 方面 ， 日 常安 全 管 
理 的 安全 事件 监控 、 发 现 、 响 应 、 处 理 和 配置 更 改 管理 等 方面 ， 主 机 安全 的 服务 最 小 化 
和 安全 补丁 等 方面 都 比较 薄弱 ， 这 些 问 题 都 很 严重 。 


4.6.6 ”信息 安全 风险 评估 结果 及 分 析 


(1) 从 高 风险 列表 看 以 下 风险 值 都 大 于 等 于 128， 都 属于 极度 风险 ， 风 险 发 生 的 可 
能 性 非常 高 ， 后 果 严 重 ， 需 要 立即 采取 措施 来 处 理 。 由 表 4-28 可 见 ， 极 度 风 险 的 条 目 不 
多 , 但 是 因为 抽取 的 评估 样本 较 少 ， 所 以 并 不 能 说 明 辽 宁 电力 信息 系统 的 安全 状况 较 好 ， 
而 表 4-28 中 所 列 出 的 极度 风险 需要 立刻 采取 措施 来 解决 。 


表 4-28 高 风险 列表 
资产 | 威胁 可 | 威胁 影 


、 | 存在 因为 测试 
134.4 | NokiaIP 530 | 2.8 站 而 打开 防火 墙 远程 root 攻 击 | 3 
人 端口 的 情况 


(2) 从 表 4-28 可 以 看 出 ， 辽 宁 电 力 信息 系统 资产 面临 的 极度 风险 中 大 部 分 是 由 技术 
类 漏洞 引起 的 ， 这 类 风险 基本 上 都 是 可 以 避免 的 ， 之 所 以 存在 这 些 高 风险 的 技术 漏洞 除 
了 与 相关 技术 人 员 的 安全 意识 有 关 ， 重 要 的 一 点 还 是 安全 技术 管理 没有 跟 上 。 

风险 等 级 分 布 统计 如 表 4-29 所 示 。 


表 4-29 风险 等 级 分 布 统计 表 


风险 等 级 数 ” 量 风险 等 级 数 量 
极度 风险 2 中 等 风险 335 
高 风险 63 


(3) 从 图 4-2、 表 4-29 我 们 可 以 看 出 ， 辽 宁 电力 信息 系统 存在 有 极度 风险 ， 高 风险 
和 中 等 风险 的 数量 也 较 多 。 因 为 此 次 评估 抽取 的 评估 对 象 的 数目 不 多 ， 所 以 极度 风险 的 
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数目 和 所 占 比 例 都 不 高 ， 但 是 这 类 风险 会 带 来 严重 后 果 。 


风险 等 级 分 布 


国 高 风险 极度 风险 日 中 等 风险 


83% 


图 4-2 风险 等 级 分 析 分 布 图 


(4) 从 抽查 的 评估 对 象 来 看 ， 辽 宁 电力 信息 系统 的 资产 中 ， 从 单个 资产 的 角度 来 看 
风险 值 较 高 的 几乎 都 集中 在 主机 、 操 作 系统 类 和 防火 墙 上 ， 而 其 他 设备 和 路 由 器 类 单个 
资产 的 风险 值 相对 较 低 。 在 这 些 高 风险 的 主机 系统 中 ，Solaris 操作 系统 的 风险 值 最 高 ， 
这 是 因为 Solaris 系统 的 默认 配置 不 够 安全 ， 并 且 管 理 人 员 没有 及 时 打上 安全 补丁 ， 安 全 
配置 和 主机 加 固 方面 做 得 不 够 。 防 火 墙 的 风险 也 比较 大 ， 弱 点 非常 严重 ， 这 主要 是 由 对 
防火 墙 的 安全 策略 管理 不 严格 造成 。 所 以 对 这 些 资产 的 保护 从 技术 上 得 到 较 好 的 解决 是 
相对 容易 的 。 


4.6.7 ”安全 风险 评估 综合 分 析 及 建议 


1. 现 有 安全 组 织 和 人 员 状 况 


辽宁 电力 信息 系统 目前 没有 专门 的 安全 机 构 来 负责 计划 、 实 施 客户 的 信息 安全 管 
理 。 信 息 安全 的 管理 规章 、 管 理 制度 不 健全 涵盖 范围 不 全 面 。 

对 于 一 些 规定 的 规章 管理 制度 ， 执 行 的 力度 也 不 是 很 大 ， 比 如 ， 在 访谈 中 显示 对 网 
络 中 重要 的 服务 器 和 网 络 设备 的 口令 都 采取 了 强壮 的 安全 保护 措施 ， 但 是 在 实际 的 评估 
过 程 中 还 是 发 现 了 很 多 弱 口令 。 

在 人 员 方 面 ， 安 全 状况 存在 一 些 问题 。 比 较 突出 的 问题 是 : 在 员工 职责 中 没有 定义 
安全 角色 和 责任 ; 员工 没有 得 到 足够 的 有 关 安 全 的 培训 ， 也 没有 通过 相应 的 资质 认证 ; 
对 第 三 方 人 员 的 安全 管理 不 够 ， 控 制 力 不 足 等 。 这 些 问题 将 导致 即使 买 了 很 多 的 安全 产 
品 也 不 能 有 效 地 改进 安全 状况 ， 不 能 及 时 正确 地 判断 和 处 理 安全 事件 ， 甚 至 在 事件 发 生 
后 ， 仍 没有 警觉 ， 而 且 也 没有 好 的 办 法 和 手段 来 解决 问题 。 加 上 专职 的 安全 人 员 不 够 、 
没有 长 期 设立 的 安全 顾问 和 服务 商 进行 技术 支持 ， 造 成 一 些 安全 问题 无 法 得 到 及 时 解 
决 ， 日 积 月 累 ， 将 造成 千 疮 百 孔 、 无 法 收拾 的 局 面 。 

目前 第 三 方 管理 的 问题 也 很 大 。 对 第 三 方 访问 信息 资源 权限 没有 合适 的 控制 ， 没 有 
对 第 三 方 申请 访问 权限 的 理由 和 访问 方式 ， 可 能 带 来 的 风险 进行 评估 。 但 目前 对 第 三 方 
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没有 安全 和 保密 方面 的 协议 和 承诺 ， 和 他 们 的 合同 大 多 数 仅 是 产品 售后 维护 合同 ， 没 有 
明确 说 明 安全 控制 和 保密 方面 的 内 容 ， 并 不 是 责 权 明确 和 严谨 的 代 维 或 服务 外 包 合同 。 
所 以 即使 出 了 事 ， 也 没 法 用 合同 违约 或 法 律 的 手段 进行 追究 。 


2. 安全 管理 制度 与 规范 的 制定 与 执行 状况 


目前 ， 辽 宁 电 力 信息 系统 的 安全 策略 和 管理 制度 不 全 。 如 果 要 达到 具体 工作 中 进行 
依照 和 规范 网 管 和 安全 工作 的 目的 ， 还 必须 细 化 出 一 系列 的 规章 制度 、 标 准 规范 和 操作 
流程 ， 形 成 从 高 到 低 的 一 个 体系 。 

目前 缺乏 一 个 高 层次 的 ， 指 导 性 的 安全 策略 或 安全 方针 文件 ， 表 达 出 领导 层 对 安全 
工作 的 态度 ， 目 标 和 指导 方向 ， 使 下 属 的 所 有 安全 制度 缺少 核心 。 没 有 细 化 到 可 执行 的 
层次 系列 的 规章 制度 、 标 准 规范 和 操作 流程 ， 也 没有 针对 各 业务 系统 的 安全 管理 规定 。 
安全 管理 制度 执行 情况 存在 不 足 。 造 成 安全 制度 执行 不 到 位 的 原因 如 下 。 

(1) 由 于 安全 制度 没有 细 化 到 标准 和 操作 指导 等 规定 ， 只 给 出 框架 性 质 的 指导 ， 难 
以 执行 。 

(2) 执行 人 员 缺 乏 必要 的 技术 支持 和 技术 保障 。 

(3) 领导 层 缺少 有 效 的 手段 或 明确 的 流程 检查 安全 制度 的 执行 情况 ， 或 者 没有 明确 
的 检查 指标 。 

(4) 安全 制度 的 执行 情况 没有 与 绩效 考核 结合 起 来 ， 并 给 予 相应 的 奖励 或 惩罚 ， 没 
有 处 罚 规定 和 责任 追究 的 制度 ， 执 行人 员 没有 压力 和 动力 。 

(5) 对 安全 制度 的 回顾 和 定期 复查 修订 也 应 该 进行 。 因 为 规章 制度 都 有 一 定 的 生命 
周期 ， 随 着 形势 的 改变 而 不 再 完全 适用 ， 尤 其 是 技术 性 很 强 和 很 具体 的 安全 标准 规范 和 
操作 流程 ， 生 命 周 期 很 短 。 没 有 定期 地 由 相应 人 员 审 核 和 修订 ， 使 得 各 类 安全 制度 相对 
于 安全 现状 有 一 定 的 滞后 性 ， 甚 至 不 适用 ， 使 用 者 更 加 不 愿 遵守 。 这 种 恶性 循环 将 为 安 
全 工作 的 开展 造成 负面 影响 。 


3. 信息 资产 管理 现状 


辽宁 电力 信息 系统 对 于 资产 的 管理 没有 充分 体现 信息 资产 的 特点 ， 没 有 结合 信息 资 
产 特点 的 管理 制度 ; 信息 资产 鉴别 方法 和 流程 ， 根 据 机 密 程度 和 重要 程度 对 数据 和 信息 
分 类 ; 信息 资产 清单 没有 定期 维护 和 更 新 。 


4. 物理 与 环境 安全 现状 


辽宁 电力 信息 系统 物理 与 环境 安全 状况 较 好 。 有 针对 机 房 的 明确 的 物理 与 环境 安全 
管理 规定 ， 规 定 覆 盖 了 物理 和 环境 安全 所 要 求 的 安全 区 域 、 设 备 安全 和 常规 措施 等 各 要 
点 。 由 于 规定 具体 可 行 ， 所 以 执行 情况 良好 。 这 点 在 机 房 得 到 了 很 好 的 反映 。 物 理 和 环 
境 安 全 状况 良好 的 原因 是 物理 安全 问题 明显 且 在 传统 网 络 建设 时 期 就 得 到 了 充分 的 认 
识 ， 公 司 上 下 都 对 物理 安全 十 分 重视 ， 并 投入 了 相应 的 人 力 财力 支持 。 可 见 ， 管 理 者 和 
执行 者 的 重视 是 开展 安全 工作 的 保障 。 如 果 其 他 层次 的 安全 问题 也 能 得 到 充分 重视 ， 也 
应 当 能 够 得 到 明显 提高 。 
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对 办 公 区 域 的 物理 和 环境 安全 要 求 相对 简单 。 在 评估 中 没有 发 现 对 敏感 信息 介质 处 
理 、 桌 面 清理 和 使 用 屏幕 保护 程序 等 问题 的 明文 规定 。 这 些 问 题 应 通过 常规 管理 措施 和 
设备 使 用 规定 加 强 办 公 区 的 物理 和 环境 安全 。 


S. 网 络 设备 和 网 络 架构 安全 状况 


本 次 评估 中 ， 对 网 络 设备 采取 了 顾问 访谈 、 人 工 审计 和 工具 扫描 相 结合 的 方式 。 骨 
干 节点 网 络 设备 主要 包括 CISCO 和 防火 墙 设备 。 网 络 设备 方面 发 现 的 最 严重 的 问题 是 对 
防火 墙 缺乏 严格 的 管理 ， 存 在 有 因为 测试 而 对 一 些 主机 端口 完全 对 外 网 打开 的 情况 ， 这 
样 一 来 就 等 于 把 这 些 主机 完全 暴露 给 了 外 网 ， 而 这 些 主机 一 旦 遭 到 入 侵 ， 则 会 被 攻击 者 
当 作 跳 板 向 内 网 全 面 渗透 ， 从 而 危及 到 整个 信息 系统 的 安全 。 此 外 防火 墙 对 于 一 些 必须 
能 被 外 网 访问 的 主机 也 缺乏 必要 的 保护 ， 从 而 使 这 些 设 备 成 为 信息 系统 上 面 最 脆弱 的 环 
节 ， 这 些 弱 点 的 危害 性 已 经 在 渗透 测试 中 得 到 了 验证 。CISCO 设备 也 存在 一 定 的 问题 ， 
例如 开放 FINGER 端口 等 。 


6. 主机 系统 和 应 用 系统 安全 状况 


对 于 主机 系统 和 应 用 系统 安全 状况 的 评估 采用 了 工具 扫描 、 渗 透 测试 、 顾 问 访 谈 、 
手工 评估 等 多 种 方式 。 通 过 扫描 ， 我 们 发 现 安全 漏洞 非常 多 ， 绝 大 多 数 的 系统 主机 为 默 
认 安 装 ， 开 放 了 太 多 无 用 的 服务 ， 没 有 及 时 打 补 丁 ， 没 有 进行 安全 配置 ， 存 在 很 多 的 弱 
口令 ， 主 机 安全 状况 不 容 乐观 ， 根 本 无 法 抵御 黑客 的 攻击 。 在 白 客 模拟 渗透 测试 中 也 证 
实 了 这 一 点 。 

通过 顾问 访谈 ， 我 们 认为 主机 系统 和 应 用 系统 存在 的 主要 管理 问题 如 下 。 

(1) 对 主机 系统 的 连接 没有 进行 登录 地 址 、 登 录 尝 试 次 数 等 限制 措施 。 

(2) 多 使 用 TELNET 方式 管理 ， 容 易 被 窃听 。 

(3) 没有 明文 规定 口令 强度 ; 存在 口令 没有 定期 更 新 和 口令 共享 现象 。 

(4) 缺少 日 志 审计 流程 和 可 以 借助 的 日 志 审计 工具 。 

(5) 防火 墙 对 信息 系统 没有 起 到 足够 的 保护 。 

这 些 问题 可 能 会 引发 非 授权 访问 、 远 程 攻击 、 非 法 代码 、 数 据 毁 坏 和 业务 中 断 等 威 
胁 ， 导 致 业务 系统 被 非法 入 侵 ， 甚 至 业务 停顿 。 实 践 证 明 ， 对 这 些 问题 疏 于 防范 ， 往 往 
会 酿 成 重大 的 安全 事件 。 

(6) 防火 墙 的 管理 不 严格 ， 从 而 给 整个 内 网 带 来 了 极 大 的 安全 问题 ， 大 多 数 主机 为 
互相 信任 关系 。 所 以 我 们 认为 信息 系统 安全 状况 存在 严重 缺陷 ， 非 常 的 危险 。 

(7) 数据 库 方面 存在 大 量 的 弱 口 令 , 没有 配置 日 志 审 计 , 口令 使 用 时 间 过 长 等 问题 。 


7. 业务 系统 和 流程 安全 状况 


各 系统 比较 普遍 的 安全 问题 是 一 些 重要 的 信息 在 网 络 上 传输 时 没有 经 过 加 密 处 
理 ， 对 操作 缺乏 日 志 审计 等 。 
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8. 现 有 安全 措施 和 安全 产品 的 配备 、 使 用 情况 


目前 ， 辽 宁 电 力 信息 系统 中 部 署 了 一 定数 量 的 安全 产品 ， 包 括 防火 墙 、Sniffer 等 。 

在 评估 中 发 现 有 的 防火 墙 没有 起 到 应 有 的 作用 ， 主 要 问题 如 下 所 示 。 

(1) 策略 配置 都 比较 松 ， 开 放 了 太 多 的 端口 ， 对 于 阻挡 黑客 的 入 侵 和 攻击 所 起 到 的 
作用 不 大 。 对 于 有 的 内 部 主机 是 any to any〔 即 端口 全 部 开放 )， 由 于 内 部 主机 没有 安全 
配置 ， 无 法 抵挡 入 侵 ， 所 以 从 此 点 突破 后 即 造成 对 整个 网 段 的 入 侵 。 

(2) 一 些 必须 接受 外 网 访问 的 主机 系统 缺乏 防火 墙 的 有 效 保护 。 

(3) 在 网 络 调试 时 ， 绕 过 防火 墙 或 把 策略 设 成 全 部 通过 。 其 实 只 要 一 天 的 时 间 就 足 
够 黑客 入 侵 整个 网 段 。 这 种 业务 未 考虑 安全 的 做 法 不 可 取 ， 除 非 真 的 必要 ， 和 否则 不 要 绕 
过 防火 墙 。 系 统 或 整个 网 段 被 入 侵 了 ， 对 业务 系统 的 影响 更 大 ， 如 果 黑 客 恶 意 破 坏 ， 后 
果 不 堪 设想 。 

(4) 渗透 性 测试 重点 在 系统 防火 墙 外 ,也 就 是 从 公 网 开始 进行 。 如 果 无 法 渗透 成 功 ， 
则 选择 从 内 网 开始 。 测 试 时 将 以 信息 最 小 披露 为 输入 原则 发 起 。 测 试 以 不 影响 正常 业务 
为 主 。 
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信息 网 络 基础 平台 结构 优化 是 保证 网 络 信息 安全 的 重要 基础 ， 是 随 着 信息 技术 不 断 
发 展 和 应 用 需求 不 断 提高 ， 而 不 断 地 组 织 实施 的 系统 工程 。 

本 章 介 绍 信息 网 络 系统 、 信 息 网 络 的 组 成 及 逻辑 结构 、 信 息 网 络 体系 及 拓扑 结构 等 
基本 概念 ， 论 述 信息 网 络 基础 平台 结构 优化 设计 原则 ， 信 息 网 络 系统 结构 优化 方案 设计 
流程 及 设计 要 点 ， 分 析 信 息 网 络 系统 现状 及 存在 的 问题 ， 介 绍 辽 宁 电 力 信息 网 络 基础 平 
台 结 构 优 化 实施 历程 及 取得 的 主要 成 果 。 


5.1 信息 网 络 系统 基本 概念 


信息 网 络 系统 就 是 利用 通信 线路 和 通信 设备 ， 把 地 理 上 分 散 ， 并 具有 独立 功能 的 多 
个 计算 机 系统 互相 连接 ， 按 照 网 络 协议 进行 数据 通信 ， 以 达到 资源 共享 和 信息 交换 的 目 
的 ， 协 同 工 作 的 信息 处 理 系 统 。 


5.1.1 网 络 及 信息 网 络 基 本 定义 


在 系统 论 中 ， 一 般 把 若干 “元 件 ” 通 过 某 种 手段 连接 在 一 起 就 称 为 网 络 。 被 连接 的 
“元 件 ”不 同 ， 所 构成 的 网 络 也 不 同 。 例 如 ， 连 接 电话 交换 机 就 构成 电话 交换 网 络 ， 连 
接 发 、 供 电 系 统 就 构成 输电 、 配 电网 络 ， 连 接 计 算 机 就 构成 计算 机 网 络 ， 等 等 。“ 网 络 ” 
主要 包含 连接 对 象 ( 即 元 件 )、 连 接 介 质 (光缆 、 双 绞 线 等 )、 连 接 的 控制 机 制 (如 约定、 
协议 、 软 件 ) 和 连接 的 方式 与 结构 4 个 方面 。 

由 此 得 到 信息 网 络 的 定义 是 : 利用 通信 线路 和 通信 设备 ， 把 地 理 上 分 散 ， 并 具有 独 
立功 能 的 多 个 计算 机 系统 互相 连接 ， 按 照 网 络 协议 进行 数据 通信 ， 由 功能 完善 的 网 络 软 
件 实现 资源 共享 的 计算 机 系统 的 集合 。 信 息 网 络 通常 也 可 称 为 计算 机 网 络 。 总 之 ， 计 算 
机 或 信息 网 络 的 本 质 是 把 两 台 以 上 具有 独立 功能 的 计算 机 系统 互 连 起 来 ， 以 达到 资源 共 
享 和 信息 交换 的 目的 。 从 用 户 的 角度 看 ， 信 息 网 络 是 一 个 透明 的 数据 传输 机 制 和 资源 共 
享 、 协 同 工 作 的 信息 处 理 系统 。 


5.1.2 ”信息 网 络 的 主要 功能 


信息 网 络 具有 丰富 的 资源 和 多 种 功能 ， 其 主要 功能 是 共享 资源 和 远程 信息 交换 。 所 
谓 共享 资源 就 是 共享 网 络 上 的 硬件 资源 、 软 件 资源 和 信息 资源 。 单 个 计算 机 或 系统 难免 
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出 现 暂 时 故障 ， 致 使 系统 瘫痪， 通过 信息 网 络 提供 一 个 多 机 系统 的 环境 ， 可 以 实现 两 台 
或 多 台 计 算 机 互 为 备份 ， 使 计算 机 系统 的 元 余 备 份 功能 成 为 可 能 ， 从 而 提高 整个 系统 的 
可 靠 性 。 

信息 网 络 连 接 的 对 象 是 各 种 类 型 的 计算 机 (如 大 型 计算 机 、 工 作 站 、 微 型 计算 机 等 ) 
或 其 他 数据 终端 设备 (如 各 种 计算 机 外 部 设备 、 终 端 服务 器 等 )， 计算 机 网 络 的 连接 介质 
是 通信 线路 (如 光缆 、 同 轴 电缆 、 双 绞 线 、 微 波 、 卫 星 等 ) 和 通信 设备 (如 中 央 交 换 机 、 
二 层 交 换 机 、 集线器 等 各 种 网 络 设备 ), 信息 网 络 的 控制 机 制 是 各 层 网 络 协议 和 各 类 网 络 
软件 ， 信 息 网 络 的 连接 方式 与 结构 多 种 多 样 。 


5.2 ”信息 网 络 基本 组 成 与 逻辑 结构 


信息 网 络 由 计算 机 系统 、 通 信 线 路 和 通信 设备 、 网 络 协议 及 网 络 软件 组 成 。 网 络 软 
件 的 各 种 功能 依赖 于 硬件 去 完成 ， 而 没有 软件 的 硬件 系统 也 无 法 实现 真正 端 到 端的 信息 
交换 。 将 信息 网 络 划分 为 资源 子 网 和 通信 子 网 ， 称 为 信息 网 络 的 逻辑 结构 。 


5.2.1 信息 网 络 的 基本 组 成 


信息 网 络 由 硬件 和 软件 两 大 部 分 组 成 。 网 络 硬件 负责 数据 处 理 和 数据 转发 ， 它 为 数 
据 的 传输 提供 一 条 可 靠 的 传输 通道 。 网 络 硬件 包括 计算 机 系统 、 通 信 线 路 和 通信 设备 。 
网 络 软件 是 真正 控制 数据 通信 和 实现 各 种 网 络 应 用 的 部 分 。 软 件 包 括 网 络 协议 及 网 络 软 
件 。 网 络 软件 的 各 种 功能 必须 依赖 于 硬件 去 完成 ， 而 没有 软件 的 硬件 系统 也 无 法 实现 真 
正 端 到 端的 数据 通信 。 对 于 一 个 信息 网 络 系统 而 言 ， 两 者 缺 一 不 可 。 总 体 而 言 ， 信 息 网 
络 由 计算 机 系统 、 通 信 线 路 和 通信 设备 、 网 络 协议 及 网 络 软件 4 个 部 分 组 成 。 这 4 个 部 
分 就 是 信息 网 络 的 基本 组 成 部 分 ， 也 常 称 为 信息 网 络 的 四 大 要 素 。 


1. 计算 机 系统 


信息 网 络 的 第 一 个 要 素 是 至 少 有 两 台 具 有 独立 功能 的 计算 机 系统 。 计 算 机 系统 是 网 
络 的 基本 模块 ， 是 被 连接 的 对 象 。 它 的 主要 作用 是 负责 数据 信息 的 收集 、 处 理 、 存 储 和 
传播 ， 它 还 可 以 提供 共享 资源 和 各 种 信息 服务 。 计 算 机 系统 是 信息 网 络 的 一 个 重要 组 成 
部 分 ， 是 信息 网 络 不 可 缺少 的 硬件 元 素 。 

信息 网 络 连接 的 计算 机 系统 可 以 是 巨型 机 、 大 型 机 、 小 型 机 、 工 作 站 或 微机 ， 以 及 
笔记 本 电脑 或 其 他 数据 终端 设备 ， 如 终端 服务 器 等 。 


2. 通信 线路 和 通信 设备 
信息 网 络 的 硬件 部 分 除了 计算 机 系统 外 ， 还 有 用 于 连接 这 些 计算 机 系统 的 通信 线路 


和 通信 设备 ， 即 数据 通信 系统 。 其 中 ， 通 信 线 路 指 的 是 传输 介质 及 其 介质 连接 部 件 ， 包 
括 光 绕 、 同 轴 电缆 、 双 绞 线 等 。 通 信 设 备 指 网 络 连接 设备 和 网 络 互 连 设备 ， 包 括 网 卡 、 
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集线器 (HUB)、 中 继 器 (Repmter)、 交 换 机 (Switch)、 网 桥 (Bridge) 和 路 由 器 (Router) 
及 Modem 等 其 他 的 通信 设备 。 使 用 通信 线路 和 通信 设备 将 计算 机 互 连 起 来 ， 在 计算 机 
之 间 建 立 物 理 通道 ， 用 于 数据 传输 。 通 信 线 路 和 通信 设备 负责 控制 数据 的 发 出 、 传 送 、 
接收 或 转发 ， 包 括 信号 转换 、 路 径 选 择 、 编 码 与 解码 、 差 错 校 验 、 通 信 控 制 管理 等 ， 以 
便 完成 信息 交换 。 通 信 线 路 和 通信 设备 是 连接 计算 机 系统 的 桥梁 ， 是 数据 传输 的 通道 。 


3. 网 络 协议 


网 络 协议 是 指 通信 双方 必须 共同 遵守 的 约定 和 通信 规则 。 它 是 通信 双方 关于 通信 如 
何 进行 所 达成 的 一 致 。 比 如 ， 用 什么 样 的 格式 表达 、 组 织 和 传输 数据 ， 如 何 校 验 和 纠正 
传输 出 现 的 错误 ， 以 及 传输 信息 的 时 序 组 织 与 控制 机 制 等 。 现 代 网 络 都 是 层次 结构 ， 协 
议 规定 了 分 层 原则 、 层 间 关 系 、 执 行 信息 传递 过 程 的 方向 、 分 解 与 重组 等 。 

在 网 络 上 通信 的 双方 必须 遵守 相同 的 协议 ， 才 能 正确 地 交流 信息 ， 就 像 人 们 谈话 要 
说 同一 种 语言 一 样 ， 如 果 谈 话 时 使 用 不 同 的 语言 ， 就 会 造成 双方 都 听 不 懂 对 方 在 说 什么 
的 问题 ， 那 么 他 们 将 无 法 进行 交流 。 因 此 ， 协 议 在 信息 网 络 中 是 至 关 重 要 的 。 一 般 说 来 ， 
协议 的 实现 由 软件 和 硬件 分 别 或 配合 完成 ， 有 的 部 分 由 网 络 设备 来 承担 。 


4. 网 络 软 件 


网 络 软件 是 一 种 在 网 络 环境 下 使 用 和 运行 或 者 控制 和 管理 网 络 工作 的 计算 机 软 
件 。 根 据 软件 的 功能 ， 信 息 网 络 软件 可 分 为 网 络 系统 软件 和 网 络 应 用 软件 两 大 类 型 。 

(1) 网 络 系统 软件 

网 络 系统 软件 是 控制 和 管理 网 络 运行 、 提 供 网 络 通信 、 分 配 和 管理 共享 资源 的 网 络 
软件 ， 它 包括 网 络 操作 系统 、 网 络 协议 软件 、 通 信 控 制 软件 和 管理 软件 等 。 网 络 操作 系 
统 (Network Operating System，NOS) 是 指 能 够 对 网 络 范围 内 的 资源 进行 统一 调度 和 管 
理 的 程序 。 它 是 计算 机 网 络 软件 的 核心 程序 ， 是 网 络 软件 系统 的 基础 。 

网 络 协议 软件 (如 TCP/IP 协议 软件 ) 是 实现 各 种 网 络 协议 的 软件 ， 它 是 网 络 软 件 
中 最 重要 、 最 核心 的 部 分 ， 任 何 网 络 软 件 都 要 通过 协议 软件 才能 发 生 作用 。 

(2) 网 络 应 用 软件 

网 络 应 用 软件 是 指 为 某 一 个 应 用 目的 而 开发 的 网 络 软件 ， 如 远程 教学 软件 、 数 字 图 
书馆 软件 、Internet 信息 服务 软件 等 。 网 络 应 用 软件 为 用 户 提供 访问 网 络 的 手段 及 网 络 服 
务 ， 资 源 共 享 和 信息 传输 的 服务 。 


5.2.2 ”信息 网 络 的 逻辑 结构 


随 着 计算 机 技术 、 通 信 技 术 和 信息 网 络 技术 的 发 展 ， 以 及 网 络 结构 的 不 断 完善 ， 为 
了 更 好 地 理解 信息 网 络 和 充分 利用 主机 资源 ， 提 高 主 计算 机 的 处 理 速 度 与 效率 ， 信 息 网 
络 从 逻辑 上 将 数据 处 理 、 资 源 共 享 与 数据 通信 处 理 分 开 。 根 据 信 息 网 络 各 组 成 部 分 的 功 
能 ， 将 信息 网 络 划 分 为 两 个 功能 子 网 ， 即 资源 子 网 和 通信 子 网 。 这 就 是 信息 网 络 的 逻辑 
结构 。 
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资源 子 网 提供 访问 网 络 和 数据 处 理 ， 以 及 管理 和 分 配 共享 资源 的 功能 。 它 能 够 为 用 
户 提供 访问 网 络 的 操作 台 和 共享 资源 与 信息 。 资 源 子 网 由 计算 机 系统 、 存 储 系统 、 终 端 
服务 器 、 终 端 或 其 他 数据 终端 设备 等 组 成 ， 它 构成 整个 网 络 的 外 层 。 

通信 子 网 提供 网 络 的 通信 功能 ， 专 门 负 责 计 算 机 之 间 通 信 控 制 与 处 理 ， 为 资源 子 网 
提供 信息 传输 服务 。 通 信子 网 是 由 通信 线路 和 通信 控制 处 理 机 (Communication Control 
Processor，CCP) 组 成 。CCP 是 提供 网 络 通信 的 控制 与 处 理 功 能 的 专用 处 理 机 (如 路 由 
器 )。 利用 通信 线路 把 分 布 在 不 同 物理 位 置 的 通信 处 理 机 连接 起 来 就 构成 了 通信 子 网 。 通 
信子 网 构成 整个 网 络 的 内 层 ， 如 图 5-1 所 示 。 


资源 子 


H 


[DA EN 


图 5-1 信息 网 络 的 逻辑 结构 


从 图 5-1 中 可 以 看 到 ， 信 息 网 络 的 逻辑 结构 由 资源 子 网 和 通信 子 网 组 成 。 如 果 没 有 
通信 子 网 ， 资 源 子 网 就 是 空中 楼 阁 ， 它 将 无 法 进行 数据 通信 和 数据 转发 ， 整 个 网 络 将 无 
法 工作 。 而 没有 资源 子 网 ， 信 息 网 络 也 将 失去 它 存 在 的 意义 。 因 此 ， 只 有 两 者 密切 结合 
才能 构成 一 个 统一 的 、 功 能 完整 的 信息 网 络 。 


5.3 ”信息 网 络 体系 及 拓扑 结构 


把 信息 网 络 的 功能 划分 成 有 明确 定义 的 层次 ， 规 定 了 同 层 次 实体 通信 的 协议 及 相 邻 
层 之 间 的 接口 服务 。 将 这 些 同 层 实 体 通信 的 协议 及 相 邻 层 接口 统称 为 网 络 体系 结构 。 信 
息 网 络 节点 和 通信 和 链 路 所 组 成 的 几何 形状 信息 网 络 称 为 拓扑 结构 。 


5.3.1 信息 网 络 的 体系 结构 


1. 信息 网 络 的 体系 结构 

信息 网 络 的 体系 结构 就 是 为 了 完成 计算 机 间 的 通信 合作 ， 把 计算 机 互 连 的 功能 划分 
成 有 明确 定义 的 层次 ， 规 定 了 同 层次 实体 通信 的 协议 及 相 邻 层 之 间 的 接口 服务 。 将 这 些 
同 层 实 体 通 信 的 协议 及 相 邻 层 接口 统称 为 网 络 体系 结构 。 简 单 地 说 ， 层 和 协议 的 集合 称 
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为 网 络 体系 结构 。 
2. 实体 和 系统 接口 和 服务 


实体 和 系统 两 词 都 是 泛 指 ， 实 体 的 例子 可 以 是 一 个 用 户 应 用 程序 ， 如 文件 传输 系 
统 、 数 据 库 管理 系统 、 电 子 邮 件 系统 等 ， 也 可 以 是 一 块 网 卡 ， 系统 可 以 是 一 台 计 算 机 或 
一 台 网 络 设备 等 。 一 般 来 说 ， 实 体能 够 发 送 或 接收 信息 ， 而 系统 可 以 包容 一 个 或 多 个 实 
体 ， 而 且 在 物理 上 是 实际 存在 的 物体 。 位 于 不 同系 统 的 同一 层次 的 实体 称 为 对 等 实体 。 

接口 是 相 邻 两 层 之 间 的 边界 ， 低 层 通 过 接口 为 上 层 提 供 服 务 。 换 句 话 说 ， 上 层 通 过 
接口 使 用 低层 提供 的 服务 ， 上 层 是 服务 的 使 用 者 ， 低 层 是 服务 的 提供 者 。 服 务 的 使 用 者 
和 提供 者 通过 服务 访问 点 直接 联系 。 所 谓 服务 访问 点 (Smice Access Point，SAP) 是 指 
相 邻 两 层 实体 之 间 通 过 接口 调用 服务 或 提供 服务 的 联系 点 。 服 务 访问 点 就 是 调用 函数 ， 
函数 的 参数 可 以 看 作 接 口 之 间 的 控制 信息 和 传递 的 数据 载体 。 


3. 协议 


协议 是 计算 机 网 络 中 实体 之 间 有 关 通 信 规 则 约定 的 集合 。 协 议 有 以 下 三 个 要 素 。 

(1) 语法 〈Syntax): 以 二 进 制 形式 表示 的 命令 和 相应 的 结构 ， 如 数据 与 控制 信息 的 
格式 、 数 据 编码 等 。 

(2) 语义 (Semantics):; 由 发 出 的 命令 请 求 、 完 成 的 动作 和 返回 的 响应 组 成 的 集合 ， 
其 控制 信息 的 内 容 和 需要 做 出 的 动作 及 响应 。 

(3) 时 序 (Timing): 事件 先后 顺序 和 速度 匹配 。 


4. 分 层 设 计 


为 了 降低 协议 设计 的 复杂 性 ， 网 络 体系 采用 层次 化 结构 ， 每 一 层 都 建立 在 其 下 层 之 
上 , 每 一 层 的 目的 是 向 其 上 一 层 提供 一 定 的 服务 , 并 把 服务 的 具体 实现 细节 对 上 层 屏蔽 。 
采用 层次 化 结构 的 优点 如 下 。 

(1) 各 层 之 间 相 互 独立 ， 高 层 不 必 关 心 低 层 的 实现 细节 ， 只 要 知道 低层 所 提供 的 服 
务 ， 以 及 本 层 向 上 层 所 提供 的 服务 即 可 。 

(2) 利于 实现 和 维护 ， 某 个 层次 实现 细节 的 变化 不 会 对 其 他 层次 产生 影响 。 

(3) 易于 标准 化 。 层 次 化 结构 通常 要 遵循 如 下 一 些 通用 的 原则 。 

(4) 层次 的 数量 不 能 过 多 ， 真 正 需要 的 时 候 才 划分 一 个 层次 。 

(5) 层次 的 数量 也 不 能 过 少 ， 层 次 的 数量 应 该 保证 能 够 从 逻辑 上 将 功能 分 开 ， 截 然 
不 同 的 功能 最 好 不 要 合 在 同一 层 。 

(6) 类 似 的 功能 放 在 同一 层 。 

(7) 层次 边界 要 选 得 合理 ， 使 层次 之 间 的 信息 流量 最 小 。 注 意 ， 这 里 不 是 要 求 数据 
流量 小 ， 而 是 指 用 于 控制 、 交 流 的 额外 信息 流量 要 尽量 少 。 


5.3.2 ”信息 网 络 的 拓扑 结构 


信息 网 络 的 拓扑 结构 是 指 计算 机 网 络 节点 和 通信 链 路 所 组 成 的 几何 形状 ， 也 可 以 说 
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是 网 络 站 点 之 间 实 现 互 连 的 一 种 方式 。 信 息 网 络 的 拓扑 结构 最 常见 的 有 以 下 几 种 。 
1. 星 状 拓扑 结构 


在 星 状 拓扑 结构 中 ， 每 个 节点 都 由 一 条 点 到 点 链 路 与 公共 中 心 节点 相连 ， 任 意 两 个 
节点 之 间 的 通信 都 必须 通过 中 心 节 点 ， 并 且 只 能 通过 中 心 节 点 进行 通信 , 如 图 5-2 所 示 。 
公共 中 心 节点 通过 存储 转发 技术 实现 两 个 节点 之 间 的 数据 帧 的 传送 。 公 共 中 心 节点 的 设 
备 可 以 是 中 继 器 ， 也 可 以 是 交换 机 。 目 前 ， 在 局 域 网 系统 中 均 采 用 星 状 拓扑 结构 ， 几 乎 
取代 了 总 线 状 结构 。 

星 状 拓扑 结构 的 主要 特点 如 下 。 

(1) 简单 ， 便 于 管理 和 维护 。 

(2) 易 实 现 结构 化 布线 。 

(3) 星 状 结构 易 扩 展 ， 易 升级 。 

(4) 通信 线路 专用 ， 电 线 成 本 高 。 

(5) 星 状 结构 的 网 络 由 中 心 节点 控制 与 管理 ， 中 心 节点 的 可 靠 性 基本 上 决定 了 整个 
网 络 的 可 靠 性 ， 中 心 节点 一 旦 出 现 故障 ， 会 导致 全 网 瘫痪 。 

(6) 中 心 节点 负担 重 ， 易 成 为 信息 传输 的 瓶颈 。 


2. 总 线 状 拓扑 结构 
总 线 状 拓扑 结构 采用 一 条 单 根 的 通信 线路 〈 总 线 ) 作为 公共 的 传输 通道 ， 所 有 的 节 
点 都 通过 相应 的 接口 直接 连接 到 总 线 上 ， 并 通过 总 线 进行 数据 传输 。 对 总 线 结构 而 言 ， 


其 通信 网 络 中 只 有 传输 媒体 ， 没 有 交换 机 等 网 络 设备 ， 所 有 网 络 站 点 都 通过 介质 连接 部 
件 直 接 与 传输 媒体 相连 ， 如 图 5-3 所 示 。 


i 
Od he 点 OO 7 T 
db 
图 5-2 星 状 拓扑 结构 图 5-3 总 线 状 拓扑 结构 


采用 总 线 状 结构 的 网 络 使 用 广播 式 传输 技术 ， 总 线 上 的 所 有 节点 都 可 以 发 送 数据 到 
总 线 上 ， 数 据 沿 总 线 传播 。 但 是 ， 由 于 所 有 节点 共享 同一 条 公共 通道 ， 所 以 在 任何 时 候 
只 允许 一 个 节点 发 送 数 据 。 当 一 个 节点 发 送 数据 ， 并 在 总 线 上 传播 时 ， 数 据 可 以 被 总 线 
上 的 其 他 所 有 节点 接收 。 各 节点 在 接收 数据 后 ， 分 析 目 的 物理 地 址 再 决定 是 接收 还 是 丢 
弃 该 数据 。 粗 、 细 同 轴 电缆 以 太 网 就 是 这 种 结构 的 典型 代表 。 

总 线 状 拓扑 结构 的 特点 如 下 。 
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(1) 结构 简单 ， 易 于 扩展 。 

(2) 共享 能 力 强 ， 便 于 广播 式 传输 。 

(3) 网 络 响应 速度 快 ， 但 负荷 重 时 则 性 能 迅速 下 降 。 
(4) 易于 安装 ， 费 用 低 。 

(5) 网 络 效率 和 带宽 利用 率 低 。 

(6) 采用 分 布控 制 方式 ， 各 节点 通过 总 线 直接 通信 。 


(7) 各 工作 节点 平等 ， 都 有 权 争 用 总 线 ， 不 受 某 节点 仲裁 。 


3. 环 状 拓扑 结构 


在 环 状 拓扑 结构 中 各 个 网 络 节点 通过 环节 点 连 在 一 条 
首尾 相 接 的 闭合 环 状 通信 线路 中 。 环节 点 通过 点 到 点 链 路 连 
接 成 一 个 封闭 的 环 每 个 环节 点 都 有 两 条 链 路 与 其 他 环节 点 
相连 ， 如 图 5-4 所 示 。 环 状 拓 扑 结构 有 两 种 类 型 ， 单 环 结构 
和 双环 结构 。 令 牌 环 (TokenRing) 网 采用 单 环 结构 ， 而 光 
纤 分 布 式 数据 接口 (FEDDI) 是 双环 结构 的 典型 代表 。 

环 状 拓扑 结构 的 主要 特点 如 下 。 

(1) 各 工作 站 间 无 主 从 关系 ， 结 构 简 单 。 

(2) 信息 流 在 网 络 中 沿 环 单 向 传递 ， 延 迟 固定 ， 实 时 性 
较 好 。 

(3) 两 个 节点 之 间 仅 有 唯一 的 路 径 ， 简 化 了 路 径 选 择 。 


(4) 可 靠 性 差 ， 任 何 线路 或 节点 的 故障 ， 都 有 可 能 引起 全 网 故障 ， 且 故障 检测 困难 。 


(5) 可 扩充 性 差 。 
4. 树 状 拓扑 结构 


树 状 拓扑 结构 是 从 总 线 状 和 星 状 演变 而 来 的 。 它 有 两 种 类 型 ， 一 种 是 由 总 线 状 拓扑 
结构 派生 出 来 的 ， 它 由 多 条 总 线 连接 而 成 ， 传 输 媒 体 不 构成 闭合 环 路 而 是 分 支 电缆 。 另 
一 种 是 星 状 拓扑 结构 的 扩展 ， 各 节点 按 一 定 的 层次 连接 起 来 ， 信 息 交换 主要 在 上 、 下 节 
点 之 间 进 行 。 在 树 状 拓扑 结构 中 ， 项 端 有 一 个 根 节点 ， 它 带 有 分 支 ， 每 个 分 支 还 可 以 有 


一 


5-4 环 状 拓扑 结构 


子 分 支 ， 其 几何 形状 像 一 棵 倒置 的 树 ， 称 为 树 状 拓扑 结构 ， 如 图 5-5 所 示 。 


0uo0 
bo 


图 5-5 树 状 拓扑 结构 
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树 状 拓扑 结构 的 主要 特点 如 下 。 

(1) 天 然 的 分 级 结构 ， 各 节点 按 一 定 的 层次 连接 。 

(2) 易于 扩展 。 

(3) 易 进行 故障 隔离 ， 可 靠 性 高 。 

(4) 对 根 节点 的 依赖 性 大 ， 一 旦 根 节点 出 现 故障 ， 将 导致 全 网 瘫痪 。 
(5) 电缆 成 本 高 。 


5. 网 状 拓扑 结构 
网 状 拓扑 结构 又 称 完整 型 结构 。 在 网 状 拓 


扑 结构 中 ,网 络 节点 与 通信 线路 互 连 成 不 规则 的 
形状 , 节点 之 间 没 有 固定 的 连接 形式 。 一 般 每 个 
节点 至 少 与 其 他 两 个 节点 相连 , 也 就 是 说 每 个 节 


点 至 少 有 两 条 链 路 连 到 其 他 节点 ， 如 图 5-6 所 
示 。 这 种 结构 的 最 大 优点 是 可 靠 性 高 ， 最 大 的 问 


题 是 管理 复杂 。 因此, 一 般 在 大 型 网 络 中 采用 这 图 5-6 网 状 拓扑 结构 
种 结构 。 有 时 ， 园 区 网 的 主干 网 也 会 采用 节点 较 少 的 网 状 拓扑 结构 。 
网 状 拓扑 结构 的 主要 特点 如 下 。 


(1) 每 个 节点 都 有 元 余 链 路 ， 可 靠 性 高 。 
(2) 可 选择 最 佳 路 径 ， 减 少时 延 ， 改 善 流量 分 配 ， 提 高 网 络 性 能 。 


(3) 管理 


复杂 ， 需 要 解决 路 径 选 择 、 拓 扑 优化 、 流 量 控制 等 问题 。 


(4) 线路 成 本 高 。 
(5) 适用 于 大 型 广域网 。 


6. 复合 状 拓扑 结构 


复合 状 拓扑 结构 是 由 以 上 几 种 拓扑 结构 复合 而 成 的 ， 如 环 星 状 结构 ， 它 是 令 牌 环 网 
和 FDDI 网 常用 的 结构 ， 还 有 总 线 状 和 星 状 的 复合 结构 ， 等 等 。 


5.4 ”信息 网 络 基础 平台 结构 优化 设计 


本 节 介 绍 信息 网 络 基础 平台 结构 优化 设计 原则 ， 信 息 网 络 系统 结构 优化 方案 设计 流 
程 及 设计 要 点 。 


5.4.1 信息 


息 网 络 基础 平台 结构 优化 设计 原则 


1. 可 靠 性 
要 求 整个 系统 采用 具有 高 可 靠 性 的 总 体 设 计 ， 在 关键 环节 均 应 有 备份 设计 ， 在 关键 
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的 网 络 设备 和 主机 设备 上 消除 单 点 失效 ， 可 以 通过 设备 元 余 和 负载 分 担 的 方式 来 提高 通 
信 系 统 的 可 靠 性 ， 设 计 中 所 选用 的 设备 本 身 应 具有 较 高 的 安全 可 靠 性 并 应 支持 热 插 拔 和 
软件 升级 。 


2. 安全 性 


信息 网 络 上 存在 很 多 应 用 系统 ， 无 论 对 内 还 是 对 外 ， 网 络 的 安全 和 保密 信息 的 安全 
至 关 重 要 ， 所 以 应 当 建 立 和 完善 通信 系统 的 安全 保密 机 制 ， 在 系统 软件 和 应 用 软件 方面 
必须 注重 系统 的 安全 保密 工作 ， 采 用 具有 较 高 安全 级 别 的 系统 软件 ， 引 入 具有 可 靠 功能 
的 专用 网 络 安全 产品 。 


3. 先进 性 


先进 的 技术 可 以 提高 系统 的 性 能 ， 并 节省 用 户 的 投资 。 在 项 目 实施 中 保证 所 采用 的 
设备 和 技术 属 世界 主流 产品 ， 在 相应 的 应 用 领域 占有 较 大 的 用 户 市 场 ， 在 相关 计算 机 技 
术 及 网 络 技术 方面 处 于 领先 地 位 。 考 虑 到 网 络 建成 后 将 在 很 长 一 段 时 间 内 使 用 ， 所 以 在 
选择 网 络 技术 的 时 候 应 具有 一 定 的 超前 意识 。 


4. 可 管理 性 


由 于 信息 网 络 系统 中 的 网 络 设备 种 类 多 、 分 布 广 ， 为 了 及 时 发 现 网 络 设备 的 故障 ， 
方便 地 进行 网 络 设备 的 配置 ， 网 络 设备 应 易于 管理 。 各 网 络 设备 区 域 应 有 自己 的 网 管 中 
心 ， 实 时 显示 全 网 的 网 络 拓扑 结构 、 线 路 的 连接 情况 及 网 络 的 运行 情况 ， 并 能 对 其 所 发 
现 的 故障 进行 相应 的 处 理 。 网 管 中 心 还 应 负责 全 网 的 网 络 配置 和 安全 策略 。 


5. 实用 性 


系统 的 性 能 指标 应 能 够 满足 信息 网 络 内 各 项 业务 对 处 理 能 力 的 要 求 。 整 个 系统 的 性 
能 应 当 是 可 靠 的、 便于 管理 的 。 所 采用 的 设备 应 当 是 易于 配置 维护 。 从 客户 方 的 角度 出 
发 ， 在 完全 满足 网 络 应 用 要 求 的 条 件 下 ， 尽 量 压 缩 设备 所 需 费用 ， 争 取 达 到 最 优 的 性 能 
价格 比 。 


6. 开放 性 


在 网 络 和 主机 方面 应 支持 符合 国际 标准 和 工业 界 标准 的 相关 接口 ， 能 够 与 各 地 区 政 
府 企 业 网 络 、ISP 网 络 以 及 其 他 相关 系统 实现 可 靠 的 互 连 ; 在 支持 标准 的 应 用 开发 平台 
方面 ， 系 统 软 硬 件 平台 应 具有 良好 的 移植 能 力 ， 在 硬件 升级 后 保持 二 进 制 级 兼容 性 ; 在 
网 络 协议 的 选择 方面 ， 应 选择 广泛 应 用 的 标准 协议 ， 同 时 支持 局 域 网 内 部 的 其 他 协议 。 


7. 可 扩充 性 和 灵活 性 


在 网 络 和 主机 设备 的 选择 方面 ， 应 具有 良好 的 可 扩充 能 力 ， 可 以 根据 信息 网 络 临时 
需要 对 系统 进行 必要 的 调整 、 扩 充 ， 这 包括 存储 容量 和 网 络 规模 等 方面 的 扩充 。 在 网 络 
全 面 升级 的 情况 下 ， 能 够 最 大 限度 保护 现 有 投资 。 
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除了 以 上 谈 到 的 通用 的 网 络 设计 原则 之 外 ， 结 合 企业 网 络 的 实际 情况 ， 在 广域网 接 
入 工程 设计 过 程 中 ， 应 本 着 如 下 原则 。 

(1) 一 次 设计 ， 满 足 本 期 组 网 要 求 的 同时 ， 为 网 络 发 展 打 下 良好 基础 ， 适 用 网 络 总 
体 规模 的 要 求 ， 使 网 络 结构 不 因 网 络 规模 扩大 而 改变 。 

(2) 一 体 化 考虑 ， 使 卫 和 ATM 部 分 采用 MPLS 有 机 地 结合 成 为 一 体 网 络 ， 网 络 结 
构 同 时 满足 两 层 业务 的 要 求 。 

(3) 网 络 机 制 满足 不 同业 务 对 不 同 服务 质量 的 需求 。 

(4) 方便 地 提供 全 网 不 同 层次 的 VPN 业务 。 

(5) 提供 基本 业务 的 同时 ， 提 供 丰富 的 网 络 附加 业务 。 


5.4.2 ”信息 网 络 系统 结构 优化 方案 设计 流程 


首先 对 目前 的 应 用 系统 进行 描述 ， 对 各 种 不 同类 型 应 用 进行 划分 ， 分 析 其 他 需求 ， 
发 现 真正 需求 实质 ， 将 这 些 信 息 作 为 确定 接 入 节点 设计 的 依据 根据 上 述 信息 ， 结 合 
品系 列 的 特点 和 费用 情况 ， 确 定 节点 设备 的 类 型 和 具体 配置 ， 并 在 节点 设计 具体 配置 和 
流量 分 析 基 础 上 进行 技术 /设备 的 选择 ， 最 终 完 成 网 络 总 体 设 计 ; 在 设计 提交 之 后 ， 根 据 
性 能 参数 和 厂商 建议 对 设计 进行 调整 ， 以 最 终 符合 实际 需求 。 信 息 网 络 系统 结构 优化 方 
案 设计 流程 如 图 5-7 所 示 。 


分 析 需 求 


了 
将 需求 转换 为 各 种 参数 


和 
选择 接 入 卡 板 类 型 
1 


验证 CPU 利用 率 


节点 设计 


上 板 元 余 
1 
选择 设备 型 号 


选择 软件 版 本 


图 5-7 信息 网 络 系统 结构 优化 方案 设计 流程 
在 这 样 的 设计 过 程 中 ， 充 分 考虑 了 对 各 种 应 用 服务 质量 的 要 求 和 心理 预期 ， 并 在 设 
计 过 程 中 得 以 体现 。 在 广域网 各 个 节点 设计 的 过 程 中 ， 主 要 遵循 以 下 流程 : 首先 分 析 需 
求 和 /并 将 相关 数据 汇总 ， 形 成 标准 参数 ， 根 据 这 些 参 数 选择 所 需要 的 IO 卡 板 、CPU 卡 
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板 的 种 类 和 数量 ， 选 择 所 需 设备 的 类 型 ， 并 与 广域网 设计 相对 照 、 修 正 ， 得 到 最 终 的 节 
点 配置 。 


5.4.3 ”信息 网 络 基础 平台 结构 优化 设计 要 点 


1. 信息 网 络 支持 平台 结构 优化 


作为 企业 信息 化 的 硬件 支撑 平台 ， 为 众多 的 应 用 系统 提供 有 力 的 支持 。 近 年 来 随 着 
信息 化 技术 的 迅猛 发 展 ， 新 技术 新 应 用 不 断 涌 现 ， 企 业 根 据 自身 环境 和 应 用 特点 不 断 将 
新 技术 运用 到 实际 网 络 运行 中 来 ， 应 用 系统 的 不 断 增加 ， 产 生 了 更 多 的 信息 流量 ， 多 种 
应 用 系统 的 存在 ， 造 成 了 部 分 资源 分 配 的 不 合理 ;， 新 技术 新 应 用 ， 对 硬件 平台 提出 更 高 
的 要 求 ; 总 的 看 来 原 有 信息 网 硬件 平台 及 网 络 带 宽 并 不 能 适应 目前 信息 技术 应 用 的 高 速 
发 展 。 

(1) 广域网 络 平台 结构 优化 

硬件 技术 的 发 展 随 着 应 用 的 不 断 更 新 也 在 进步 ， 结 合 企业 广域网 络 通道 带宽 不 断 提 
高 ， 结 合 网 络 新 技术 的 发 展 ， 为 保证 广域网 高 效 连接 ， 提 高 网 络 速度 ， 增 强 网 络 信息 交 
换 能 力 ， 升 级 路 由 设备 。 

公司 与 各 单位 路 由 器 所 采用 的 路 由 协议 均 为 OSPF， 各 单位 根据 自身 内 部 局 域 网 的 
情况 确定 和 广域网 接 入 路 由 器 之 间 是 否 采 用 路 由 协议 ， 以 及 采用 哪 种 路 由 协议 进行 路 
由 。 如 果 基 层 单位 内 部 有 三 层 设 备 (包括 路 由 器 和 三 层 交 换 设备 )， 则 基层 单位 内 部 划分 
的 各 个 子 网 段 采 用 静态 路 由 到 广域网 接 入 路 由 器 ， 再 把 静态 路 由 信息 重 分 布 到 整个 
OSPF 域 中 。 如 果 没 有 三 层 设 备 ， 则 不 需要 在 广域网 接 入 路 由 器 上 起 静态 路 由 协议 。 

各 基层 单位 内 建 两 条 PVC， 其 中 一 条 在 广域网 通道 设备 中 继 上 是 非 限定 比特 率 业 务 
(UBR)， 其 特点 是 在 中 继 带 宽 上 如 果 没 有 预 留 或 是 被 占用 带宽 的 时 候 不 限定 这 种 业务 的 
传输 速率 。 这 条 PVC 连接 各 基层 单位 的 局 域 网 ， 主 要 用 来 传输 MIS、OA 这 样 的 数据 。 
另 一 条 为 非 实 时 可 变 比特 率 业务 (nrt 一 VBR)， 其 特点 是 确保 中 继 带 宽 上 有 一 定 的 带宽 
并 不 随时 间 变 化 而 变化 ， 当 有 突 发 数据 量 时 可 以 根据 突 发 时 中 继 带 宽 的 状态 调节 传输 速 
率 ， 其 优先 级 较 UBR 业务 高 。 这 条 PVC 连接 各 个 地 市 供电 公司 的 省 公司 的 视频 会 议 
系统 。 

从 网 络 的 物理 结构 上 来 看 ， 使 广域网 络 结构 更 加 简单 、 维 护 更 加 容易 ， 利 用 光纤 替 
换 了 多 条 电缆 连接 。 提 高 网 络 扩展 性 ， 当 有 新 的 节点 需要 接 入 的 时 候 ， 不 需要 增加 新 的 
卡 板 端口 和 线路 设备 ， 采 用 高 性 能 交换 式 路 由 器 可 以 扩展 卡 板 实现 更 多 新 节点 的 接 入 ， 
无 需 增加 多 台 路 由 器 ， 以 及 更 多 数量 的 电路 接口 ， 从 而 降低 成 本 。 从 物理 线路 上 来 看 ， 
本 身 光纤 比 电 缆 传输 的 距离 更 远 ， 可 传输 的 信息 速率 更 快 ， 抗 干扰 能 力 更 强 。 

从 端口 模块 上 来 看 ， 高 性 能 交换 式 路 由 器 的 广域网 络 通道 接口 可 以 建立 多 条 虚拟 路 
径 ， 每 个 虚拟 路 径 并 不 像 DDN 方式 那样 是 实际 的 物理 线路 ， 而 可 以 理解 为 逻辑 链 路 ， 
利用 统计 复 用 的 网 络 技术 可 以 灵活 地 使 用 中 继 带 宽 ， 虚 拟 连接 的 路 径 并 不 会 完全 占用 物 
理 线路 的 带宽 ， 实 际 上 只 有 广域网 络 通道 接口 上 有 数据 流量 的 时 候 才 会 占用 物理 线路 ， 


i22 网 络 信息 安全 工程 原理 与 应 用 


而 不 像 DDN 连接 方式 那样 不 管 接口 有 没有 流量 始终 占有 中 继 线 路 上 的 2MB 带宽 ， 这 样 
的 连接 方式 会 造成 资源 分 配 的 不 合理 。 从 使 用 的 技术 角度 ， 高 性 能 交换 式 路 由 器 的 广 域 
网 络 通道 模块 支持 网 络 技术 的 QoS 特性 ， 即 对 不 同业 务 采 用 不 同 的 服务 机 制 ， 比 如 ， 对 
于 业务 等 级 较 高 的 业务 可 以 比 其 他 业务 等 级 较 低 的 业务 有 更 高 的 优先 级 ， 同 时 可 以 限定 
不 同业 务 的 带宽 。 当 然 在 QoS 机 制 上 还 有 其 他 更 多 的 更 灵活 的 应 用 。 

(2) 局 域 网 络 平台 结构 优化 

公司 是 企业 信息 网 络 平台 的 核心 ， 绝 大 多 数 的 应 用 系统 主要 都 在 公司 ， 因 此 在 公司 
选用 3 台 高 性 能 核心 路 由 交换 机 构成 环 路 ， 通 过 OSPF 协议 实现 链 路 和 路 由 的 负载 均衡 
和 和 宛 余 。 选 用 高 性 能 交换 式 路 由 器 设备 与 各 基层 单位 连接 。 

公司 处 在 一 个 信息 量 汇聚 的 位 置 ， 各 基层 单位 的 应 用 系统 访问 流量 以 及 各 基层 单位 
之 间 的 信息 流量 都 要 通过 公司 ， 因 此 选 配 一 块 单 模 OC-12 卡 板 ， 其 与 广域网 ATM 设备 
的 连接 速率 高 达 622Mbps， 另 外 高 性 能 交换 式 路 由 器 设备 通过 交换 引擎 上 的 多 模 千 兆 以 
太 网 口 和 核心 三 层 交 换 设备 以 1000Mbps 速率 和 公司 内 部 局 域 网 连接 。 

为 提高 配 线 间 交换 机 的 性 能 和 增加 更 多 的 接 入 端口 ， 增 加 Digital Modem 模块 ， 共 
提供 拨号 连接 。 安 装 部 署 EMC CLARiiON IP4700 NAS 设备 。 它 同时 支持 所 有 主要 开放 
主机 和 操作 系统 ， 满 足 用 户 对 大 量 文件 级 数据 共享 的 需求 ， 可 以 很 好 地 解决 异 构 网 络 环 
境 下 的 数据 备份 与 数据 共享 的 问题 ， 提 供 存 储 容量 的 扩展 。 

利用 网 络 管理 系统 ， 为 公司 计算 机 信息 网 络 提供 全 面 的 配置 管理 、 设 备 管理 、 性 能 
管理 、 安 全 管理 、 故 障 诊断 、 事 件 管理 、QoS 策略 等 管理 功能 。 提 高 网 络 运行 服务 效率 ， 
同时 降低 网 络 运 行 维护 费用 。 

(3) 信息 网 络 路 由 协议 规划 

由 于 历史 的 原因 ， 广 域 网 使 用 的 路 由 协议 比较 复杂 ， 广 域 网 络 采用 EIGRP 路 由 协议 
和 静态 路 由 结合 ， 主 干 局 域 网 交换 机 使 用 OSPF 路 由 协议 ， 在 原 有 核心 路 由 器 进行 
EIGRP、OSPF、 静 态 路 由 的 重新 分 布 ， 保 证 整个 网 络 的 路 由 互通 。 对 于 大 型 的 广域网 络 
来 说 ， 选 择 基 于 链 路 状态 的 路 由 协议 OSPF 是 较 适 宜 的 。OSPF 是 由 属于 IETF 的 IGP 工 
作 组 所 开发 的 ， 是 为 IP 网 络 而 设计 的 ， 后 经 过 几 个 研究 组 织 的 共同 努力 ， 成 为 一 种 标准 
的 路 由 协议 ， 被 大 多 数 路 由 器 厂家 支持 ， 它 不 但 具有 较 高 的 效率 ， 而 且 具 有 可 靠 的 安全 
机 制 和 良好 的 开放 性 。 

在 项 目 实施 中 ， 在 路 由 器 上 动态 路 由 协议 无 效 ， 动 态 路 由 协议 启用 是 通过 广播 相互 
之 间 交 换 路 由 信息 的 ，OSPF 路 由 协议 可 以 支持 点 到 多 点 的 非 广播 网 络 的 互通 ， 在 广 域 
网 中 使 用 修改 原 有 的 EIGRP 路 由 协议 ， 使 用 OSFP 作为 广域网 主干 路 由 协议 ， 与 核心 交 
换 机 的 OSPF 实现 互通 。 

(4) 完善 的 拥塞 控制 与 服务 质量 保障 

公司 计算 机 信息 网 络 应 用 不 仅 有 简单 数据 传输 应 用 ， 而 且 还 有 视频 会 议 、 语 音 等 实 
时 应 用 的 传输 。 因 此 , 网 络 对 拥塞 的 控制 和 对 不 同性 质数 据 流 的 不 同 处 理 是 尤其 重要 的 ， 
整个 网 络 必须 能 够 支持 低 延 时 队列 技术 (LLQ)、CBWFQ, 保证 在 任何 情况 下 不 出 现 “IP 
包 乱 序 ”， 为 视频 会 议 、 语 音 等 应 用 提供 服务 质量 保障 。 提 供 的 端 到 端的 QoS， 提 供 不 
仅仅 是 简单 的 设备 功能 ， 而 是 构成 整个 网 络 的 QoS 服务 质量 体系 。 
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建立 二 层 VPN 保证 端 到 端 服务 质量 (QoS): 从 网 络 模型 的 层次 来 看 ，VPN 网 络 可 
以 分 为 第 二 层 VPN 和 第 三 层 VPN。 所 谓 第 二 层 VPN 就 是 在 网 络 参考 模型 的 第 二 层 即 数 
据 链 路 层 利用 网 络 技术 来 实现 ， 利 用 网 络 技术 实现 的 是 二 层 的 VPN。 第 二 层 VPN 提供 
了 可 靠 的 安全 保证 。 建 立 VPN 的 目的 是 将 视频 会 议 系 统 与 其 他 IP 数据 进行 隔离 ， 并 保 
证 视频 会 议 的 效果 。 

在 公司 和 各 基层 单位 之 间 的 路 由 器 上 跨 过 ATM 网 络 分 别 建立 两 条 PVC， 其 中 他 视 
频 的 流量 通过 PVC 2， 而 其 他 的 卫 数据 则 通过 PVC 1， 这 样 人 P 视频 数据 将 不 会 受 其 他 
数据 的 影响 ， 并 且 第 二 条 PVC 上 做 了 资源 预 留 ， 即 在 数据 量 过 大 的 时 候 保证 这 条 PVC 
有 一 定 的 带宽 。 与 此 同时 将 PVC 2 上 承载 的 卫 视频 业务 设置 成 为 非 实时 可 变 比特 率 业 
务 (nrtVBR), 而 PVC 1 上 承载 的 业务 设置 成 非 限定 比特 率 业务 (UBR)， 在 网 络 拥塞 的 
时 候 ，nrtVBR 比 UBR 有 更 高 的 优先 级 ， 以 此 保证 他 视频 的 质量 。 

同时 ， 利 用 访问 控制 列表 实现 视频 数据 流 隔离 ， 在 主干 和 边缘 路 由 器 中 设置 两 条 
PVC 链 路 ， 并 且 在 边缘 路 由 器 单独 为 视频 系统 配置 1 个 10/100M 端口 ， 重 新 规划 卫 地 
址 ， 在 逻辑 上 实现 视频 会 议 系 统 的 专用 通道 。 

(5) IP 网 络 的 功能 优化 

信息 网 在 技术 上 定位 为 IP 优化 的 宽带 网 络 ， 主 干 为 千 兆 网 ， 并 具备 向 万 兆 以 太 网 过 
渡 的 条 件 ; 广域网 以 155M ATM 作为 传输 通道 ， 并 具备 向 622M/ATM 过 渡 的 条 件 。 

逐步 实现 数据 、 语 音 、 视 频 的 IP 一 体 化 。 

采用 层次 化 的 全 体系 结构 ， 减 少 对 传统 传输 体系 的 依赖 。 

核心 设备 支持 RIP、RIPv2、OSPF、IS-IS、BGP4、MPLS 等 多 种 标准 协议 。 根 据 公 
司 计算 机 信息 网 络 长 远 发 展 的 需求 ， 整 个 网 络 至 少 支 持 OSPF、IS-IS、BGP4 以 及 MPLS 
路 由 协议 ， 以 支持 服务 营运 级 网 络 所 需要 的 功能 。 

带宽 优化 ， 在 IOS QoS 控制 下 ， 最 大 限度 地 利用 广域网 的 带宽 。 

可 扩展 的 网 络 承 载 能 力 。 

主干 核心 交换 机 采用 全 元 余 结构 设计 ， 消 除了 设备 、 链 路 、 路 由 的 单 点 故障 。 多 台 
SSR 8600 构成 环 路 ， 通 过 OSPF 协议 实现 链 路 和 路 由 的 负载 均衡 和 元 余 。 核 心 交换 机 提 
供 足 够 的 扩展 能 力 ， 满 足 今 后 应 用 扩展 的 需要 。 

(6) 多 协议 的 支持 

公司 计算 机 信息 网 络 以 支持 TCP/IP 协议 为 主 ， 但 也 需要 兼容 IPX、DECNET、 
APPLE-TALK 等 网 络 协议 。 作 为 服务 营运 级 的 网 络 必须 要 考虑 到 潜在 的 特殊 用 户 服务 需 
求 的 支持 。 

核心 设备 支持 RIP、RIPv2、OSPF、IS-IS、BGP4、MPLS 等 多 种 标准 协议 。 根 据 公 
司 计算 机 信息 网 络 长 远 发 展 的 需求 ， 整 个 网 络 至 少 支持 OSPF、IS-IS、BGP4 以 及 MPLS 
路 由 协议 ， 以 支持 服务 营运 级 网 络 所 需要 的 功能 。 

(7) 多 层次 的 网 络 安全 体系 

Intemet 自身 协议 〈IP) 的 开放 性 极 大 地 方便 了 各 种 计算 机 联网 ， 拓 宽 了 共享 资源 。 
但 开放 的 同时 也 带 来 了 对 网 络 安全 的 威胁 ， 主 要 表现 在 : 拒绝 服务 、 非 授权 访问 、 冒 充 
合法 用 户 、 破 坏 数据 完整 性 、 干 扰 系统 正常 运行 、 利 用 网 络 传播 病毒 、 线 路 窃听 等 方面 。 
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因此 ， 网 络 整体 的 安全 已 经 不 是 单一 的 安全 产品 所 能 保证 的 ， 而 是 一 系列 综合 全 面 的 安 
全 策略 的 集合 一 一 网 络 安全 体系 。 

深层 次 的 网 络 安全 解决 方案 将 为 公司 计算 机 信息 网 络 提供 一 套 完整 的 纵深 防御 安 
全 体系 ， 从 各 个 层次 各 个 角度 加 以 防范 。 

@ 设备 登录 安全 。 

@ 支持 分 权限 的 登录 管理 。 

@ 支持 AAA 安全 认证 协议 (Radius、Tacacs+)。 

图 支持 单 播 逆 向 路 由 检查 (uRPF)， 防 止 DDoS 攻击 。 

@@ 支持 在 大 量 的 访问 控制 时 ， 不 影响 性 能 。 

支持 更 加 智能 的 访问 控制 (可 对 应 用 层 信息 进行 匹配 )。 

@ 支持 通过 基于 ACL 的 限 速 (CAR)， 来 控制 DDoS 攻击。 

支持 地 址 转换 (NAT)。 

@ 支持 加 密 安全 通道 。 

支持 网 络 入 侵 检测 。 

有 支持 IOS 防火 墙 功能 。 

(8) 统一 的 网 络 管理 

由 于 公司 采用 统一 的 他 路 由 网 络 ， 所 有 的 网 络 设备 均 支 持 标准 的 卫 SNMP 网 管 协 
议 ， 所 以 对 网 络 管理 员 来 讲 ， 可 以 简单 地 使 用 一 套 网 管 工具 ， 完 成 对 整个 广域网 络 的 管 
理 。 信 息 网 络 与 通信 网 络 界线 清晰 ， 责 任 分 明 。 

完善 的 网 络 管理 解决 方案 将 为 公司 计算 机 信息 网 络 提供 全 面 的 配置 管理 、 设 备 管 
理 、 性 能 管理 、 安 全 管理 、 故 障 诊断 、 事 件 管理 、QoS 策略 等 管理 功能 。 提 高 网 络 运 行 
服务 效率 ， 同 时 降低 网 络 运行 维护 费用 。 

IT 环境 的 管理 以 及 面向 业务 应 用 方面 的 管理 ， 其 主要 管理 功能 体现 在 以 下 几 个 
方面 。 

Q@ 故障 管理 : 跟踪、 辨认 错误 ， 接 受 错误 报告 并 作出 反应 ; 维护 并 检查 错误 日 志 ， 
形成 故障 统计 ; 能 执行 一 定 的 诊断 测试 。 

@ 网 络 节点 管理 和 网 络 设备 的 配置 管理 :自动 发 现 网 络 拓扑 结构 及 网 络 配置 ， 实 
时 监控 设备 状态 ， 创 建 并 维护 配置 数据 库 ， 能 进行 网 络 节 点 设备 、 端 口 、 系 统 软件 的 配 
置 ， 对 配置 操作 过 程 进行 记录 统计 。 

@ 网 络 性 能 管理 : 收集 网 络 内 运行 的 数据 信息 ， 提 供 网 络 的 性 能 统计 ， 并 完成 性 
能 分 析 与 容量 规划 , 如 网 络 节点 设备 的 可 用 率 、CPU 利用 率 、 故 障 率 ， 网 络 时 延 统计 等 ; 
分 析 历史 统计 数据 ， 优 化 网 络 性 能 ， 消 除 网 络 中 的 瓶颈 ， 实 现 网 络 流量 的 均匀 分 布 ; 分 
析 网 络 中 各 种 业务 模型 下 网 络 链 路 利用 职权 率 与 性 能 关系 趋势 ， 决 定 网 络 负载 的 合理 安 
排 、 网 络 资源 的 高 效 利 用 和 为 下 一 步 的 容量 规划 提供 决策 依据 。 

@ 安全 管理 : 对 系统 中 存在 的 安全 问题 进行 监控 ， 防 止 黑客 “入 侵 ” 同时 管理 系 
统 本 身 的 安全 性 也 要 有 保障 。 

@ 系统 性 能 管理 : 通过 对 关键 应 用 主机 系统 性 能 及 应 用 情况 的 监控 ， 了 解 系统 资 
源 的 使 用 情况 ， 同 时 对 历史 数据 以 及 应 用 趋势 的 分 析 和 预测 ， 为 网 络 和 系统 的 升级 和 改 
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造 提供 科学 依据 。 

@ 网 管 系统 应 具有 用 户 友 好 性 ， 并 提供 编程 接口 ， 使 其 能 得 到 方便 灵活 的 扩展 及 
二 次 开发 能 力 。 

@ 对 网 络 环境 中 运行 的 数据 库 系统 和 关键 业务 应 用 进行 管理 。 

2. 信息 网 络 应 用 平台 结构 优化 


但 随 着 网 络 的 发 展 和 用 户 的 增长 ， 现 有 的 应 用 系统 结构 已 不 能 很 好 地 支持 用 户 的 使 
用 和 应 用 的 发 展 。 为 了 更 好 地 为 用 户 提供 服务 ， 需 要 结合 自身 特点 ， 实 施 信息 网 络 应 用 
平台 结构 优化 工程 ， 全 面 支持 企业 经 营 战 略 和 发 展 目标 的 实现 。 

对 原 有 应 用 系统 软件 升级 ， 要 使 信息 网 络 应 用 平台 结构 优化 ， 每 个 系统 达到 高 可 靠 
性 、 高 可 用 性 的 标准 ， 应 实现 以 下 功能 。 

(1) 统一 用 户 管理 系统 

建立 统一 用 户 管理 系统 独立 于 其 他 应 用 系统 ， 并 具有 相应 的 可 靠 性 和 可 用 性 。 使 统 
一 的 用 户 管理 平台 (基于 LDAP 协议 的 目录 服务 器 ) 集中 管理 用 户 数据 ， 使 用 户 能 够 使 
用 一 个 口令 可 以 访问 代理 和 邮件 系统 ， 采 用 国际 先进 的 LDAP 协议 作为 用 户 访问 接口 ， 
便于 与 其 他 系统 的 无 颖 连接 。 

在 用 户 管理 上 ， 采 用 了 安全 的 委托 管理 机 制 ， 实 现 了 用 户 数据 的 分 级 管理 。 减 少 了 
管理 成 本 ， 提 高 了 管理 效率 。 为 保证 用 户 数据 的 高 可 靠 性 和 可 用 性 ， 两 台 设备 使 用 目录 
系统 特有 的 同步 复制 机 制 ， 实 现 了 用 户 数据 的 实施 同步 备份 。 

(2) 统一 信息 服务 平台 

建立 统一 的 信息 服务 平台 ， 使 用 户 可 以 通过 此 平台 随时 随地 、 使 用 任何 设备 访问 。 
通过 系统 提供 的 接口 可 以 与 短信 、 电 话 、 传 真 等 设备 实现 互 连 ， 为 网 上 办 公 提 供 了 基础 
平台 ， 同 时 实现 了 邮件 系统 和 防 病毒 系统 相 结合 ， 防 止 造成 病毒 通过 邮件 系统 广泛 传播 
的 问题 。 通 过 统一 的 信息 服务 平台 ， 在 为 本 地 用 户 提供 邮件 服务 的 同时 ， 能 够 为 各 二 级 
单位 提供 邮件 服务 。 邮 件 系统 可 以 跟 目录 服务 器 软件 实现 无 颖 集成 ， 从 而 允许 对 用 户 和 
账户 信息 实行 集中 管理 与 存储 ， 进 而 简化 各 项 管理 工作 ， 快 速 部 署 信息 传递 服务 ， 并 有 
利于 减少 维护 与 管理 费用 。 

(3) 代理 系统 

代理 服务 器 主要 的 功能 是 提高 用 户 访问 网 络 效率 和 效益 ， 通 过 代理 系统 对 用 户 访问 
互联 网 进行 控制 。 通 过 对 硬件 的 升级 ， 软 件 的 升级 ， 建 立 系统 的 高 速 缓存 等 技术 建立 一 
个 更 稳定 的 代理 系统 ， 并 且 基 于 统一 的 用 户 管理 系统 ， 对 用 户 的 访问 进行 控制 。 为 有 权 
限 的 用 户 提供 可 靠 、 稳 定 的 访问 通道 ， 通 过 对 代理 系统 的 升级 和 设置 ， 能 够 对 用 户 的 所 
有 访问 进行 控制 。 代 理 系统 还 有 自动 同步 复制 缓存 数据 库 的 信息 的 功能 。 因 为 在 缓存 数 
据 库 中 存放 的 数据 可 能 经 过 一 段 时 间 后 比较 陈旧 了 ， 比 如 ， 原 来 在 Internet 上 存放 的 这 
些 信息 已 经 被 更 新 了 ，Proxy Server 可 以 智能 地 更 新 这 些 数据 。 

(4) 信息 发 布 系统 

信息 发 布 系统 通过 其 先进 的 多 过 程 、 多 线程 体系 结构 ， 提 供 高 性 能 和 可 伸缩 性 。 经 
过 优化 的 高 速 缓存 、 对 称 多 处 理 器 支持 、 核 心 线程 的 先进 使 用 技术 、HTTP 1.1 支持 以 及 


126 网 络 信息 安全 工程 原理 与 应 用 


尖端 内 存 管理 等 特性 ， 有 利于 提供 一 个 功能 全 面 的 信息 发 布 服务 器 以 及 高 水 平 服务 。 采 
用 硬件 的 HA 技术 ， 和 软件 的 负载 均衡 功能 ， 建 立 一 个 稳定 可 靠 的 信息 发 布 系统 。 

信息 发 布 服务 器 为 成 功 实现 网 站 体系 结构 莫 定 了 基础 。 它 们 用 作 中 心 点 ， 所 有 的 关 
键 任 务 内 容 、 应 用 和 事务 在 交付 用 户 之 前 ， 均 将 流 经 该 中 心 点 。 现 在 的 信息 发 布 系统 可 
以 灵活 地 帮助 企业 满足 与 日 俱 增 的 客户 需求 ， 提 供 企 业 在 新 经 济 时 代 处 理 成 功 网 站 需求 
的 大 规模 用 户 的 访问 ， 提 供 必 需 的 高 性 能 、 可 靠 性 、 可 伸缩 性 和 可 管理 性 。 

(5) 应 用 开发 系统 

应 用 开发 系统 逐渐 成 为 公司 应 用 扩展 的 主要 平台 。 现 在 已 经 有 很 多 应 用 在 应 用 平台 
上 运行 ， 而 且 通 过 应 用 平台 开发 ， 可 以 大 大 缩短 开发 周期 ， 节 省 开发 费用 。 采 用 了 应 用 
服务 器 的 Cluster (集群 ) 技术 ， 实 现 应 用 系统 的 高 可 靠 性 ， 并 且 能 够 实现 应 用 级 的 HA。 

应 用 开发 系统 的 特性 包括 基于 标准 的 集成 化 编程 环境 ， 可 以 实现 应 用 开发 与 快速 部 
署 的 便捷 性 ， 实 现 企 业 与 后 端 系统 的 连接 以 及 安全 服务 。 创 建 多 层 应 用 的 开发 环境 、 应 
用 开发 系统 和 创建 服务 器 扩展 ， 并 跟 企业 应 用 和 传统 系统 相 集成 ， 应 用 开发 系统 开发 工 
具 将 单独 提供 。 

应 用 开发 系统 通过 端 对 端 优化 性 能 与 特性 ， 例 如 ， 连 接 高 速 缓存 与 合并 、 结 果 高 速 
缓存 、 数 据 流 以 及 全 面 多 线程 、 多 进程 体系 结构 ， 支 持 大 量 并 行 用 户 。 可 伸缩 特性 包括 
动态 负荷 平衡 和 点 击 式 应 用 分 区 ， 人 允许 应 用 实现 动态 扩展 ， 支 持 海量 用 户 。 动 态 负荷 平 
衡 系 统 基于 细 粒 度 服务 器 和 应 用 统计 数据 。 附 加 负荷 监控 器 在 Web 服务 器 层 受 支持 ， 
以 实现 优异 的 性 能 和 容错 特性 。 多 种 分 区 模式 ， 有 利于 保障 分 布 式 应 用 的 优异 性 能 。 

应 用 开发 系统 支持 开发 C/C++ 应 用 以 及 基于 Java 2 平台 企业 版 “J2EE) 的 Java 应 
用 , 例如 , 适用 于 中 间 层 可 重用 商务 逻辑 的 Enterprise JavaBeans 体系 结构 、Java Servlets 
以 及 JavaServer Pages 技术 。J2EE 标准 为 适应 多 样 化 客户 机 与 后 端 数据 以 及 多 层 应 用 的 
传统 资源 需求 ， 提 供 一 个 基于 部 件 的 统一 应 用 模型 。 支 持 J2EE 有 助 于 减少 开发 时 间 。 

(6) 统一 的 DNS 管理 系统 

分 别 有 三 台 设 备 为 内 网 和 外 网 的 用 户 提 供 3 个 域名 的 解析 工作 。 使 用 一 台 服 务 器 集 
中 管理 DNS 记录 ， 并 提供 3 个 域 的 解析 服务 。 同 时 使 用 主 、 从 模式 提高 DNS 系统 的 可 
靠 性 。 最 重要 的 是 解决 了 一 个 服务 器 对 不 同 用 户 解析 不 同 地 址 的 问题 。 减 轻 了 管理 员 的 
工作 量 ,减少 了 管理 成 本 ， 提 高 了 管理 效率 。 

(7) 目录 系统 

目录 服务 器 为 管理 大 量 用 户 信 息 的 企业 提供 用 户 管理 基础 服务 。 目 录 服 务 器 能 够 与 
现存 的 系统 集成 ， 并 发 挥 中 央 仓 库 的 作用 ， 以 适应 合并 员工 、 客 户 、 供 应 商 和 伙伴 的 需 
要 ， 适 应 保存 信息 ， 保 存 各 种 灵活 的 个 性 化 用 户 概况 和 优先 选择 需要 ， 适 应 外 联网 用 户 
验证 需要 。 在 托管 环境 中 ， 伙 伴 、 客 户 和 供应 商 能 够 管理 他 们 自己 的 那 部 分 目录 ， 从 而 
减少 内 部 管理 成 本 ， 并 有 利于 保障 提供 精确 的 最 新 信息 。 

简化 互联 网 应 用 开发 : 当 企 业 开发 互联 网 应 用 时 ， 合 作 伙 伴 、 客 户 和 供应 商 数 据 的 
难度 日 益 增加 ， 成 本 也 越 来 越 昂 贵 。 目 录 服 务 器 提供 为 大 量 用 户 开 发 互联 网 应 用 所 需求 
的 可 伸缩 性 和 信息 控制 。 通 过 跨越 多 个 应 用 实现 集中 化 用 户 组 和 访问 控制 ， 目 录 服 务 器 
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可 以 极 大 地 简化 管理 。 当 与 诸如 证 书 管理 系统 这 样 一 类 X.509v3 公 钥 证 书 解 决 方案 结合 
使 用 时 ， 它 还 将 为 实现 基于 证 书 的 有 效 验证 莫 定 一 个 基础 。 

目录 特性 增强 可 用 性 : 目录 服务 器 具有 的 大 量 特性 ， 人 允许 实现 高 可 用 性 。 复 制 技术 
有 助 于 消除 单一 失效 点 ; 事务 记录 功能 可 以 实现 故障 恢复 , 支持 简单 网 管 协议 (SNMP)， 
可 以 提供 灵活 的 网 络 管理 能 力 。 另 外 ， 目 录 服 务 器 通过 在 线 备份 、 配 置 修改 、 模 式 升级 
和 索引 等 技术 ， 使 管理 和 维护 造成 的 停机 时 间 减 至 最 低 水 平 。 

与 企业 系统 相 集成 : 广泛 的 元 目录 功能 ， 人 允许 与 企业 现行 基础 结构 实现 便捷 集成 。 
来 自 于 企业 不 同系 统 的 数据 ， 在 目录 内 部 实现 同步 ， 并 能 够 轻而易举 地 集成 于 支持 轻型 
目录 访问 协议 (LDAP) 的 新 应 用 系统 。 


5.5 ”信息 网 络 系统 结构 优化 应 用 实例 


本 节 分 析 辽 宁 电力 信息 网 络 系统 现状 及 存在 的 主要 问题 ， 介 绍 辽 宁 电力 信息 网 络 基 
础 平台 结构 优化 实施 历程 及 取得 的 主要 成 果 。 


5.5.1 辽宁 电力 信息 网 络 系统 现状 


辽宁 电力 信息 网 络 已 经 建成 了 以 省 公司 为 中 心 的 千 兆 骨干 网 和 在 沈 单位 
2M/100M/1000M 连接 布局 的 城 域 网 以 及 包括 46 个 基层 单位 2M 以 上 带宽 连接 的 广 域 信 
息 网 络 。 并 通过 国电 东北 公司 实现 与 国电 公司 和 吉林 、 黑 龙 江 省 公司 的 连接 ， 系 统 联网 
机 器 近 2400 多 台 计 算 机 。 

在 企业 总 体 数据 规划 、 信 息 资 源 网 络 规划 的 基础 上 ， 辽 宁 省 电力 有 限 公 司 组 织 了 大 
规模 的 应 用 系统 开发 。 目 前 ， 浏 览 器 系统 覆盖 所 有 电力 企业 、 电 厂 、 施 工 修造 企业 、 医 
院 及 学 校 ， 通 过 Web 系统 实现 信息 发 布 、 视 频 点 播 、 建 立 了 一 个 统一 的 信息 服务 平台 
成 为 信息 网 的 主要 应 用 ; 广域网 环境 下 的 办 公 自 动 化 系统 投入 运行 四 年 多 ， 成 为 公司 日 
常 办 公 不 可 缺少 的 工具 。 另 外 ，30 个 各 专业 应 用 子 系 统 已 经 投入 运行 。2000 年 12 月 28 
日 辽宁 省 电力 公司 信息 网 络 系统 工程 通过 了 省 公司 组 织 的 工程 验收 。 达 到 国家 电力 公司 
管理 信息 系统 实用 化 验收 标准 ， 进 入 全 国电 力 系统 先进 行列 。 辽 宁 电力 信息 网 络 视 频 系 
统 工程 是 2001 年 省 公司 重点 科技 项 目 之 一 ,其 实现 了 基于 省 公司 广 域 信息 网 上 的 多 媒体 
应 用 。 

辽宁 电力 信息 网 经 过 五 年 的 建设 和 快速 发 展 ， 已 实现 省 公司 机 关 办 公 楼 至 东北 公 
司 、 市 内 主要 所 属 单位 一 一 调 通 中 心 、 电 科 院 、 各 局 办 公司 (燃料 公司 、 物 资 公 司 等 )、 
2 万 米 、 光 明 花 园 住宅 小 区 等 千 兆 光纤 连接 。 通 过 东北 公司 实现 了 与 吉林 、 黑 龙 江 省 电 
力 公 司 连接 ， 省 内 实现 沈阳 、 辽 阳 、 鞍 山 、 营 口 、 盘 锦 、 两 锦 、 抚 顺 、 本 溪 、 丹 东 、 大 
连 、 铁 岭 、 阜 新 13 个 供电 公司 、 铁 岭 发 电厂 、 锦 州 东港 公司 、 辽 宁 发 电厂 、 抚 顺 发 电厂 、 
沈 海 热电 公司 、 桓 仁 发 电厂 、 太 平 哨 发 电厂 、 清 河 发 电厂 、 阜 新 发 电厂 等 发 电 企 业 100M 
或 2M 电力 通信 专线 连接 。 
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5.5.2 ”辽宁 电力 信息 网 络 系统 存在 的 主要 问题 


辽宁 电力 信息 网 投入 运行 以 来 ， 因 为 系统 安全 和 功能 扩充 的 要 求 ， 进 行 了 主干 核心 
网 及 二 级 设备 的 升级 和 改造 。 增 加 了 核心 交换 机 、 路 由 器 的 元 余 备 份 模块 ， 解 决 了 网 络 
运行 的 单 点 故障 问题 ， 保 证 了 系统 的 高 可 靠 性 和 高 可 用 性 。 系 统 通过 升级 后 ， 整 体 网 络 
性 能 都 有 很 大 的 提高 ， 并 解决 了 在 设备 互联 中 存在 的 一 些 问题 。 辽 宁 电力 信息 网 已 具备 
相当 规模 ， 但 快速 发 展 的 各 种 应 用 系统 对 网 络 平台 也 提出 了 新 的 要 求 。 

(1) 省 公司 与 基层 供电 公司 应 用 系统 快速 增长 ， 需 要 交换 的 信息 量 日 益 增 大 ， 为 满 
足 目前 及 今后 应 用 系统 扩展 的 需要 ， 必 须 改造 省 公司 与 基层 供电 公司 和 电厂 的 连接 条 
件 ， 对 主干 和 二 级 单位 的 相应 设备 进行 升级 和 扩充 ， 满 足 大 带宽 、 高 速 连接 的 要 求 。 

(2) 通信 线路 改造 后 ， 整 个 网 络 的 应 用 系统 联系 更 加 紧密 ， 必 须 充分 考虑 网 络 系统 
的 安全 ， 对 敏感 数据 应 用 的 隔离 保护 。 

(3) 通信 线路 改造 后 ， 视 频 会 议 的 实现 方式 及 如 何 保证 动态 图 像 的 质量 。 

(4) 网 络 应 用 的 丰富 对 核心 交换 设备 的 可 靠 性 提出 了 新 的 更 高 要 求 ， 必 须 采 取 措 施 
消除 局 域 网 核心 交换 机 物理 链 路 及 路 由 的 单 点 故障 ， 采 用 相应 的 技术 进行 实现 链 路 及 路 
由 级 元 余 连接 和 配置 。 

(5) 解决 因为 楼 层 客户 端点 数量 及 应 用 增加 ， 导 致 联网 速度 慢 的 问题 。 

(6) 解决 所 有 二 级 单位 连接 的 安全 问题 ， 建 立 安全 的 系统 运行 平台 ， 实 现 省 公司 与 
基层 单位 、 局 机 关 与 基层 单位 、 局 机 关 与 住宅 小 区 的 安全 连接 。 

(7) 现 有 的 Intranet/Intermmet 应 用 结构 比较 混乱 ， 难 于 实现 功能 的 扩展 ， 需 要 对 现 有 
的 Intranet/Intermet 资源 进行 重新 规划 、 整 合 ， 为 接 入 用 户 提供 更 多 的 服务 ， 为 视频 点 播 
应 用 增加 更 大 的 节目 存储 空间 。 

(8) 拨号 用 户 线 路 不 够 ， 安 全 性 差 ， 需 要 对 拨号 线路 进行 扩容 、 实 现 拨号 用 户 安全 
认证 。 


5.5.3 辽宁 电 力 信息 网 络 系统 结构 优化 历程 


结合 辽宁 电力 信息 网 的 现状 ， 和 国际 网 络 及 应 用 技术 高 速 发 展 的 情况 ， 落 实 公司 领 
导 关 于 辽宁 电力 信息 网 信息 管理 系统 实用 化 验收 后 ， 继 续 保持 国内 领先 水 平 的 要 求 ， 进 
一 步 提高 辽宁 电力 信息 网 络 系统 运行 管理 水 平 ， 提 高 省 公司 本 部 办 公 效 率 和 办 公 质 量 ， 
加 快 信息 交换 速度 的 指示 要 求 ，2002 年 3 月 辽宁 省 电力 有 限 公司 成 立项 目 领导 小 组 ， 负 
责 辽 宁 电 力 信息 网 络 基础 平台 结构 优化 工程 的 可 研 立项 和 工程 组 织 工作 。 

2002 年 4 月 项 目 小 组 成 员 深 入 了 解 了 国内 、 国 际 网 络 Intermet 应 用 技术 高 速 发 展 的 
情况 ， 分 别 对 Cisco 公司 、Nortel 公司 、Juniper 公司 、SUN 公司 、CheckPoint 公司 情况 、 
产品 及 解决 方案 进行 了 详细 了 解 ， 与 多 家 系统 集成 商 进行 技术 方案 讨论 ， 并 形成 初步 的 
系统 设计 方案 。 
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1. 信息 网 络 基础 平台 结构 优化 工程 实施 范围 


LNEPC-Net 应 用 系统 建设 包括 网 络 管理 中 心 、 计 算 机 网 络 及 管理 信息 系统 的 建设 ， 
同时 还 包括 信息 资源 网 的 建设 。 辽 宁 电 力 公司 管理 信息 系统 (LNEPC-MIS) 是 辽宁 电力 
公司 现代 信息 服务 体系 的 主要 部 分 。 该 系统 全 面 支持 辽宁 电力 公司 的 计划 统计 、 人 力 资 
源 、 财 务 、 电 网 调度 、 发 供电 生产 、 用 电 营 业 、 安 全 监察 、 燃 料 和 物资 供应 等 现代 化 管 
理 ， 为 各 级 领导 和 各 层 各 类 业务 人 员 提 供 信息 服务 ， 提 高 全 公司 的 综合 经 济 效益 。 公 共 
应 用 系统 包括 全 省 的 办 公 自 动 化 系统 、Web 系统 、 邮 件 系统 、 视 频 点 播 系统 等 。 

辽宁 省 电力 有 限 公 司 Intemet/Intranet 系统 , 包括 WWW 系统 、 目录 系统 邮件 系统 、 
代理 系统 等 系统 ， 可 为 用 户 提供 信息 发 布 、 收 发 邮件 、 代 理 访问 Intemet 等 服务 。 但 随 
着 网 络 的 发 展 和 用 户 的 增长 ， 现 有 的 硬件 和 应 用 系统 结构 已 不 能 很 好 地 支持 用 户 的 使 用 
和 应 用 的 发 展 。 系 统 的 性 能 需要 进一步 提高 ， 要 求 速度 更 快 、 运 行 更 加 安全 稳定 。 


2. 信息 网 络 基础 平台 结构 优化 技术 方案 论证 


项 目 小 组 对 辽宁 电力 信息 网 络 基础 平台 结构 优化 ， 需 求 进行 了 详细 的 调查 分 析 ， 编 
制 了 “辽宁 电力 信息 网 络 基础 平台 结构 优化 方案 "。 辽 宁 电力 有 限 公司 信 息 中 心 于 2002 
年 4 月 组 织 相关 技 术 人 员 论 证 了 “辽宁 电力 信息 网 络 基础 平台 结构 优化 技术 方案 ”。 

项 目 小 组 讨论 了 辽宁 电力 信息 网 络 基 础 平台 结构 优化 工程 系统 前 期 准备 工作 ， 并 介 
绍 了 技术 方案 。 该 方案 依托 辽宁 电力 信息 网 络 ， 建 立 以 省 公司 为 中 心 ， 覆盖 13 个 省 公司 
所 属 供电 公司 的 155M/ATM 宽带 广域网 络 系统 ， 可 实现 省 公司 范围 内 高 速 的 数据 通信 ， 
为 今后 丰富 的 应 用 系统 搭建 可 靠 的 网 络 平台 ; 通过 整合 企业 Intranet/Internet 应 用 ， 可 以 
更 好 地 为 接 入 用 户 提 供 服务 、 增 加 新 的 业务 功能 。 

方案 阐述 了 国内 外 IP 宽带 网 络 及 企业 Web 应 用 的 现状 和 发 展 趋势 ， 利 用 辽宁 电力 
信息 网 络 系统 现 有 资源 ， 进 行 系统 需求 分 析 ， 说 明 系 统 的 建设 原则 、 建 设 目标 和 建设 方 
案 ， 并 且 对 国内 外 厂商 的 主流 产品 及 技术 进行 分 析 比 较 。 

项 目 小 组 认为 该 设计 方案 采用 了 国际 网 络 发 展 先进 、 成 熟 的 技术 ， 充 分 利用 了 省 公 
司 信息 网 络 资源 和 设备 优势 。 方 案 采 用 基于 IP 技术 的 宽带 网 络 架构 ， 基 于 J2EE 等 标准 
的 Web 开发 技术 ， 具 有 良好 的 开放 性 与 扩展 性 。 该 方案 的 实施 将 很 好 地 解决 了 省 内 联网 
通道 速率 低 带宽 限制 ， 有 利于 更 好 地 普及 各 种 信息 子 系统 应 用 ， 提 高 省 公司 信息 资源 的 
应 用 水 平 ， 为 今后 在 此 平台 上 搭建 基于 单独 业务 应 用 的 VPN 系统 创造 有 利 的 条 件 。 同 时 
更 好 地 解决 了 视频 系统 信号 传输 通道 的 瓶颈 问题 ， 保 证 了 活动 图 像 服务 的 质量 。 

项 目 小 组 经 过 认真 的 讨论 ， 认 为 “辽宁 电力 信息 网 络 基础 平台 结构 优化 方案 ”技术 
先进 ， 设 计 合理 ， 方 案 可 行 ， 符 合 国际 网 络 及 Web 应 用 技术 发 展 方向 ， 应 尽快 组 织 实施 。 


3. 制定 信息 网 络 基础 平台 结构 优化 工程 实施 方案 


“辽宁 电力 信息 网 络 基 础 平台 结构 优化 项 目 ” 合 同 签订 后 ， 信 息 中 心 立即 组 织 相关 
公司 技术 人 员 对 辽宁 电力 信息 网 局 域 网 、 广 域 网 、 住 宅 小 区 、 基 层 供电 公司 进行 工程 实 
施 情 况 调查 ， 包 括 机 房 环 境 温 度 、 湿 度 、 灯 光 、 电 磁 辐 射 ， 设 备 摆 放 ; 规划 连接 方式 ， 


130 网 络 信息 安全 工程 原理 与 应 用 


线 缆 走向 实施 方案 、 光 纤 跳 线 、 线 线路 由 通道 、 出 线 口 及 设备 的 连接 方式 等 ， 绘 制 机 房 
弱电 平面 图 。 对 现 有 运行 网 络 环境 拓扑 结构 、 各 网 段 路 由 设置 情况 ， 下 属 二 级 单位 邮件 
托管 需求 、 托 管 策 略 ， 防火 墙 安 全 要 求 、 相 关 的 安全 策略 ;各 系统 的 主机 名 和 人 P 地 址 确 
认 表 等 进行 详细 调查 。 最 后 ， 由 信息 中 心 根据 各 单位 反馈 的 调查 表 及 设计 、 实 施 方案 ， 
组 织 相关 人 员 进 行 认真 的 研究 讨论 ,确定 “辽宁 电力 信息 基础 平台 结构 优化 实施 方案 ”。 


4. 确定 信息 网 络 基础 平台 结构 优化 施工 原则 


由 于 “辽宁 电力 网 络 基础 平台 结构 优化 工程 ”具有 施工 量 大 、 并 行程 度 高、 涉及 层 
次 多 、 技 术 含 量 高 、 施 工时 间 短 等 显著 特点 ， 为 确保 整个 工程 能 够 高 质量 地 如 期 完工 ， 
在 施工 中 将 遵循 以 下 原则 。 

(1) 施工 部 署 有 序 : 施工 过 程 中 同步 进行 的 工作 相互 协调 ， 施 工 组 织 上 可 以 尽量 做 
到 相对 独立 ， 并 行 施工 ， 从 而 加 快 工 程 实施 的 整体 进度 。 对 系统 的 整体 调试 和 各 项 子 系 
统 之 间 的 联 调 必 须 严格 按照 协作 方式 进行 。 

(2) 施工 进程 满足 工期 要 求 : 为 了 便于 工程 的 施工 进度 控制 和 工程 验收 ， 本 次 工程 
将 明确 划分 施工 阶段 ， 并 且 提 出 各 个 施工 阶段 具体 施工 内 容 和 施工 阶段 验收 标准 。 

(3) 各 施工 步骤 必须 符合 有 关 操作 规范 及 技术 标准 : 由 于 本 工程 覆盖 面 广 、 涉 及 单 
位 多 ， 为 了 确保 工程 的 实施 质量 ， 针 对 工程 的 各 个 具体 实施 环节 ， 事 先 制订 详细 的 工程 
实施 计划 和 测试 计划 ， 确 保 工程 的 高 质量 。 

(4) 合理 组 织 施工 要 素 ， 达 到 资源 的 最 优 配置 : 为 了 克服 工程 实施 中 的 工期 短 、 工 
作 量 大 、 工 程 涉及 面 大 等 困难 ， 成 功 的 关键 因素 就 是 要 充分 利用 有 限 的 人 力 资 源 ， 合 理 
地 安排 各 公司 施工 人 员 分 工 、 协 同 ， 高 效 发 挥 施工 队伍 的 力量 ， 高 质 高 效 地 完成 工程 的 
施工 。 

根据 实施 方案 和 实施 原则 下 发 “关于 建设 辽宁 电力 信息 网 络 基 础 平台 整合 优化 项 
目 有 关 事 项 的 通知 ”文件 ， 明 确 由 省 公司 负责 信息 网 络 基础 平台 整合 优化 项 目 总 体 方案 
设计 及 统一 组 织 实施 ， 并 负责 网 络 系统 的 主干 网 架构 的 建设 ， 包 括 信 息 中 心 核心 路 由 器 
Cisco 7609 配置 ， 路 由 协议 的 规划 、 卫 地 址 分 配 、ATM 通道 PVC 分 配 、 网 络 主干 QoS 
保障 等 。 另 外 ， 省 公司 负责 配置 所 属 13 个 供电 公司 路 由 器 Cisco 7204 及 连接 附件 一 套 ， 
用 于 实现 省 公司 与 13 个 供电 公司 连接 各 基层 单位 应 按照 省 公司 的 统一 安排 和 部 署 进行 
连接 、 配 合 测试 ， 其 中 用 于 连接 的 跳 线 、 额 外 的 增加 部 分 由 各 单位 自行 解决 。 为 尽快 组 
织 实施 辽宁 电力 信息 网 络 基 础 平台 整合 优化 工程 , 确保 在 2002 年 底 实 现 系 统 基本 功能 ， 
由 各 供电 企业 及 有 关 单 位 提出 联网 线路 准备 情况 。 省 公司 系统 各 级 调度 通信 部 门 负 责 为 
信息 网 络 基 础 平台 整合 提供 足够 的 网 络 宽带 条 件 准备 ， 并 做 好 配合 协调 工作 。 

Internet/Intranet 资源 整合 涉及 SUN 主机 系统 、 防 火 墙 系 统 、DNS 系统 、 统 一 用 户 
管理 系统 、 电 子 邮 件 系统 、 代 理 系 统 、 信 息 发 布 系统 、 应 用 开发 系统 等 多 个 子 系统 ， 相 
互 之 间 联 动 性 强 ， 针 对 每 个 子 系统 应 准备 详细 的 安装 、 测 试 文档 ， 割 接 前 测试 方案 、 割 
接 方案 ， 按 照 设 计 方案 详细 测试 了 各 单一 系统 功能 和 性 能 及 整个 系统 的 协同 功能 。 
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S. 信息 网 络 基础 平台 结构 优化 工程 准备 


(1) 由 信息 中 心 技术 人 员 与 各 公司 按照 各 自 的 技术 方案 及 项 目 实施 方案 起 草 总 体 项 
目 说 明 、 设 备 接收 清单 、 工 程 进 度 安排 、 安 装 验收 格式 、 工 程 具体 实施 人 员 、 各 方 责任 、 
项 目 终 验 报告 格式 等 。 

(2) 制定 设备 间 环 境 要 求 表 ， 根 据 设 备 以 及 人 员 操 作对 环境 的 要 求 ， 考 察 现场 保障 
情况 。 考 察 电源 负荷 保 障 情况 ， 包 括 : 电源 负荷 均衡 、 电 源 插 座位 置 、 规 定 电 源 插座 类 
型 品质 ， 根 据 需要 进行 机 房 强 电 规划 并 提出 实施 方案 。 每 个 安装 现场 考核 结束 后 ， 提 交 
现场 准备 总 结 报告 ， 包 括 : 可 能 的 实施 方案 、 进 度 及 责任 方 。 

(3) 省 公司 信息 中 心 根据 总 体 项 目 实施 方案 ， 统 一 组 织 各 单位 尽快 实施 。 在 项 目 实 
施 过 程 中 ， 由 于 基层 条 件 未 就 绪 或 达 不 到 设计 要 求 的 ， 由 基层 单位 负责 解决 。 

(4) 为 保障 应 用 系统 在 割 接 后 不 影响 开发 人 员 的 使 用 ，7 月 8 日 一 7 月 12 日 由 信息 
中 心 对 开发 人 员 进行 了 J2EE 开发 培训 ， 详 细 地 培训 了 在 新 的 JEE 标准 下 应 该 如 何 开 
发 、 部 署 Intemet/Intranet 应 用 ， 为 今后 Web 应 用 向 基于 J2EE 标准 过 渡 准备 技术 保障 。 


6. 信息 网 络 基础 平台 结构 优化 工程 实施 


整个 项 目 实施 分 为 设备 到 货 清点 ; 初步 安装 调试 ; 运行 及 测试 调整 、 割 接 前 的 测试 
阶段 、 系 统 割 接 、 割 接 后 的 测试 阶段 等 阶段 。 

(1) 网 络 系统 

合同 签订 6 一 8 周 后 ， 所 有 Cisco 合同 设备 到 达 现场 ， 信 息 中 心 组 织 厂 家 相关 人 员 进 
行货 物 验收 ， 签 写 设 备 到 货 清 单 ， 备 忘 录 。 各 公司 按照 项 目 实施 计划 开始 组 织 实施 ， 包 
括 设 备 的 加 电 测试 、 相 关 技术 人 员 的 前 期 培训 、 准 备 测试 环境 、 整 理 测试 文档 配置 、 设 
备 下 发 。 为 尽快 实现 广域网 的 ATM 升级 ， 将 网 络 应 用 的 中 断 时 间 降 到 最 小 ， 要 求 各 基 
层 连 接 单 位 并 行 操作 。 由 信息 中 心 及 各 公司 专业 技术 人 员 对 连接 设备 进行 安装 、 调 试 、 
故障 解决 。 

广域网 修改 原 有 的 EIGRP 路 由 协议 ， 使 用 OSFP 作为 广域网 主干 路 由 协议 ,与 核心 
交换 机 SSR 8600 的 OSPF 实现 互通 ， 具 体 工作 如 下 。 

一 是 调整 了 三 台 核心 交换 机 SSR 8600 及 Cisco 7505、Cisco 7507 路 由 配置 ， 统 一 使 
用 OSPF (AS =101); 二 是 13 个 供电 公司 ATM 连接 路 由 器 Cisco 7204 OSPF 配置 ， 三 
是 调整 其 他 单位 2M 连接 路 由 器 Cisco 2509 EIGRP-OSPF 配置 ， 四 是 实现 主干 网 络 路 由 
协议 统一 ， 为 今后 网 络 扩展 提供 保证 。 

信息 系统 骨干 网 络 结构 图 如 图 5-8 所 示 。 

3 台 核 心 交换 机 SSR 8600 构成 环 路 ， 通 过 OSPF 协议 实现 链 路 和 路 由 的 负载 均衡 和 
元 余 。 将 2 万 米 、 光 明 花 园 、 南 湖 大 酒店 2 个 单 模 、 技 改 局 等 千 兆 外 围 单 位 等 接 入 交换 
机 SSR 8000; 在 SSR 8000 上 配置 访问 列表 进行 适当 控制 。 所 有 接 入 单位 通过 Nokia IP 
530 防火 墙 进行 隔离 ， 实 现 安 全 访问 。 

为 提高 配 线 间 交换 机 的 性 能 和 增加 更 多 的 接 入 端口 ， 对 原 有 的 ELS100 堆叠 进行 拆 
分 ， 部 分 信息 点 密集 的 楼 层 采用 Enterasys E5 交换 机 上 联 。 
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图 5-8 信息 系统 骨干 网 络 结构 图 


为 Cisco 3660 增加 1 个 30 路 Digital Modem 模块 ， 共 提供 60 路 拨号 连接 。 拨 号 用 
户 使 用 Cisco 的 ACS 认证 软件 实现 拨号 用 户 的 认证 。 选 用 1 台 NT 或 2000 服务 器 ， 安 
装 Cisco ACS 软件 。 

安装 部 署 EMC CLARiiON IP4700 NAS 设备 。 它 同时 支持 所 有 主要 开放 主机 和 操作 
系统 ， 满 足 用 户 对 大 量 文件 级 数据 共享 的 需求 ， 可 以 很 好 地 解决 异 构 网 络 环境 下 的 数据 
备份 与 数据 共享 的 问题 ， 提 供 存 储 容量 的 扩展 。 

部 署 Cisco 2000 网 络 管理 解决 方案 ， 为 辽宁 省 电力 有 限 公司 计算 机 信息 网 络 提供 全 
面 的 配置 管理 、 设 备 管理 、 性 能 管理 、 安 全 管理 、 故 障 诊断 、 事 件 管理 、QoS 策略 等 管 
理 功 能 。 提 高 网 络 运行 服务 效率 ， 同 时 降低 网 络 运 行 维护 费用 。 

调整 视频 会 议 系 统 : 电厂 原 有 的 窄带 2M DDN 网 络 接 入 Cisco 7507， 视 频 系统 连接 
和 应 用 方式 不 变 ， 继 续 使 用 优先 队列 保证 视频 系统 的 应 用 。13 个 供电 公司 在 主干 和 边缘 
路 由 器 中 设置 2 条 PVC 链 路 ， 在 边缘 路 由 器 单独 为 视频 系统 配置 1 个 10/100M 端口 ， 
重新 规划 IP 地 址 ， 在 逻辑 上 实现 视频 会 议 系统 的 专用 通道 ， 尽 可 能 提高 视频 系统 画面 
质量 。 

(2) 应 用 系统 

辽宁 电力 信息 网 Intemet/Intranet 系统 升级 后 ， 要 使 每 个 系统 达到 高 可 靠 性 、 高 可 用 
性 的 标准 。 

建立 了 基于 LDAP 的 集中 、 统 一 用 户 管理 系统 ， 为 现 有 和 将 来 的 应 用 系统 和 需要 认 
证 的 系统 提供 用 户 认证 服务 。 

通过 安全 的 委托 管理 机 制 ， 实 现 统一 用 户 的 分 级 管理 。 


第 5 章 信息 网 络 基础 平台 结构 优化 及 应 用 133 


建立 了 集中 、 统 一 管理 的 DNS 系统 ， 使 内 外 网 的 DNS 解析 管理 更 加 简单 化 。 
辽宁 电力 信息 网 应 用 系统 配置 图 如 图 5-9 所 示 。 
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5-9 辽宁 电力 信息 网 应 用 系统 配置 图 


建立 了 基于 iPlanet 的 统一 邮件 系统 平台 ， 在 为 本 地 用 户 提供 邮件 服务 的 同时 ， 能 够 
为 各 二 级 单位 提供 邮件 服务 。 

通过 对 代理 系统 的 升级 和 设置 ， 能 够 对 用 户 的 所 有 Intemet 访问 进行 有 效 控制 。 

通过 在 外 网 增加 LinkProof 负载 均衡 设备 ， 充 分 利用 Intemet 接 入 的 多 条 线路 。 

通过 在 Intemet 和 小 区 的 网 关 处 设置 防火 墙 ， 配 置 不 同 的 访问 策略 ， 完 全 保护 应 用 
系统 和 内 部 网 络 的 安全 。 系 统 框架 图 如 图 5-10 所 示 。 


电子 商务 平台 


| 


电子 邮件 系统 代理 系统 


信息 发 布 系统 “| 应 用 开发 系统 


图 5-10 辽宁 电力 信息 网 络 应 用 服务 平台 框架 图 
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(3) 信息 网 络 系统 优化 和 完善 

核心 交换 机 SSR 8600 的 软件 版 本 为 3.2.0.0， 是 2000 年 的 版 本 ，Enterasys 公司 陆续 
推出 了 几 个 新 的 版 本 ， 解 决 了 以 前 软件 的 很 多 BUG， 为 系统 增加 新 的 功能 ， 并 更 好 地 保 
证 系统 长 时 间 稳 定 运行 ， 经 过 信息 中 心 与 相关 人 员 讨论 ， 决 定 对 三 台 核 心 交换 机 SSR 
8600 的 Firmware 版 本 进行 升级 ， 升 级 后 的 版 本 为 9.0.5.0。 经 过 一 段 时 间 的 测试 观察 ， 
系统 运行 稳定 ， 完 全 达到 系统 软件 升级 的 目的 。 

核心 路 由 器 Cisco 7609 最 初 由 于 配置 问题 ， 主 交换 引擎 宕 机 后 ， 系 统 没 有 切换 到 备 
份 引擎 ， 造 成 系统 停机 ， 通 过 组 织 技术 人 员 调 查 问 题 、 更 改 配置 ， 经 过 反复 测试 ， 排 除 
故障 ， 实 现 了 主 备 交 换 引 擎 切换 问题 。 

整个 广域网 系统 上 线 后 ， 视 频 应 用 曾经 出 现 了 两 次 大 规模 的 不 稳定 现象 ， 我 们 马上 
组 织 了 厂家 工程 师 对 问题 进行 分 析 并 提出 解决 方案 。 最 终 查 清 问题 ， 一 是 因为 供电 故障 
导致 调 通 ATM 交换 机 停机 ， 二 是 连接 视频 矩阵 的 交换 机 主 引 擎 矩阵 故障 导致 交换 机 不 
能 正常 工作 ， 通 信 出 现 大 量 错 包 ， 通 过 我 们 的 努力 ， 圆 满 解决 问题 。 

在 系统 升级 过 程 中 ， 我 们 与 各 公司 共同 讨论 了 今后 广域网 络 数据 与 视频 通道 的 使 用 
问题 , 最 后 一 致 认为 , 为 保障 视频 会 议 系 统 的 效果 , 采用 数据 与 视频 物理 通道 PVC 分 离 ， 
基层 路 由 器 使 用 单独 的 以 太 口 直 连 视频 终端 ， 通 过 策略 路 由 的 配置 ， 实 现 数据 与 视频 系 
统 人 P 层 的 分 离 , 最 终 在 广域网 范围 内 实现 视频 系统 的 类 似 专 网 应 用 ， 严 格 地 保障 视频 系 
统 的 带宽 和 延 时 要 求 ， 经 过 一 系列 的 模拟 测试 ， 完 全 达到 设计 要 求 ， 解 决 了 跨 广域网 络 
视频 应 用 的 难题 。 更 多 的 内 容 参 考 “ 系 统 安装 测试 报告 ”。 

在 整个 网 络 系统 升级 过 程 中 ， 由 于 重新 规划 了 广域网 的 路 由 协议 ， 出 现 与 个 别 供电 
公司 配置 冲突 的 地 方 ， 通 过 一 阶段 调试 ， 顺 利 实现 了 路 由 协议 的 规划 ， 优 化 了 整个 广 域 
网 络 的 结构 。 

(4) 应 用 开发 系统 优化 

2002 年 9 月 3 日 系统 制 接 后 ， 应 用 开发 系统 出 现 了 不 稳定 现象 ， 我们 马上 组 织 了 厂 
家 工程 师 对 问题 进行 分 析 并 提出 解决 方案 。 

在 应 用 系统 升级 项 目 中 , 应 用 系统 的 升级 出 现 了 两 个 问题 。 问题 是 在 9 月 5 日 发 现 ， 
经 过 一 段 时 间 的 测试 和 分 析 ， 问 题 未 能 解决 ， 确 认 是 产品 的 问题 ， 由 艾 怡 艾 公 司 配合 厂 
家 工程 师 解决 。 通 过 对 问题 的 分 析 ， 发 现 问题 主要 是 新 的 应 用 系统 平台 对 原 有 的 应 用 不 
能 够 很 好 的 支持 。 应 用 系统 在 10 月 21 日 解决 了 数据 库 连 接 不 释放 的 问题 后 ， 系 统 运行 
基本 稳定 ， 在 系统 基本 稳定 运行 的 过 程 中 ， 又 发 现 了 两 个 问题 。 

一 是 访问 新 注册 的 应 用 程序 时 ， 不 带 默认 页 面 的 请 求 会 导致 WWW 系统 宕 机 。 二 是 
留言 板 的 应 用 在 新 的 应 用 系统 上 运行 ， 从 数据 库 得 到 的 数据 显示 不 正常 。 经 常 在 正常 的 
信息 后 附带 许多 乱码 。 

第 一 个 问题 通过 升级 WWW 系统 ， 解 决 问题 。 第 二 个 问题 的 解决 方法 是 通过 修改 应 
用 系统 的 基 类 ， 而 不 需要 修改 程序 。 截 至 12 月 20 日 ,我 们 共 迁 移 了 原 有 27 个 应 用 程序 
中 的 24 个， 如 表 5-1 所 示 。 
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表 5-1 迁移 原 有 应 用 系统 表 


综合 数据 库 管理 信息 系统 /zhsjk 
省 公司 信息 发 布 系统 : /xxfb 
电力 文摘 i /digest 
三 创新 网 站 
老年 之 友 


信息 网 络 MIS i /netMIS 
电子 贺卡 栏目 i /card 
3+1 音乐 室 

11 班组 建设 网 站 


2 

3 言 / 

: 

vans | EB | em 
: , 


2 英语 角 NAB3 


21 市 场 营 销 
22 科技 成 果 申 报 书 
3 


2 后 备 干部 管理 

24 综合 查询 管理 

电力 物资 社区 管理 系统 
电力 营销 网 站 系统 


天 气 预报 信息 发 布 系统 


WWW 系统 在 10 月 12 日 升级 后 , 出现 访 问 较 慢 的 情况 ,通过 配置 系统 的 缓存 功能 ， 
WWW 系统 现在 的 访问 速度 得 到 了 明显 的 提高 ， 从 以 前 的 每 个 请 求 响应 时 间 200 多 毫 
秒 ， 提 高 到 现在 的 50 毫秒 左右 。 

(5) 目录 系统 的 完善 

在 系统 割 接 时 由 于 从 目录 系统 需要 和 主 目录 系统 同步 数据 ， 而 且 从 目录 系统 的 设备 
是 占用 升级 前 的 代理 系统 ， 因 此 没有 在 割 接 时 安装 。 为 了 提高 目录 系统 的 可 靠 性 和 可 用 
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性 , 在 10 月 15 日 对 从 目录 系统 进行 了 安装 并 实现 了 主 、 从 系统 的 数据 实时 同步 。 

在 安装 主 、 从 目录 系统 时 ， 我 们 根据 现场 的 环境 修改 了 设计 方案 中 目录 系统 的 安 
装 、 部 署 模式 。 主 目录 服务 系统 仍然 与 邮件 系统 在 同一 台 设 备 上 ， 从 目录 系统 安装 在 一 
台新 的 设备 上 。 与 设计 方案 的 区 别 在 于 减少 了 一 个 设备 ， 同 时 主 目录 系统 除了 有 从 目录 
系统 的 备份 外 ， 还 增加 了 HA 功能 (与 邮件 系统 一 致 )。 

(6) 邮件 系统 防 病毒 完善 

邮件 系统 升级 后 ， 系 统 的 防 转 发 和 防 攻 击 能 力 都 到 了 明显 的 提高 ， 但 对 病毒 邮件 不 
能 进行 控制 ， 为 提高 邮件 系统 的 防 病毒 能 力 ，12 月 4 日 我 们 测试 了 邮件 系统 和 防 病毒 系 
统 的 结合 处 理 邮 件 的 情况 ， 测 试 结果 邮件 系统 能 够 很 好 的 和 防 病毒 系统 结合 并 提供 防 病 
毒 能 力 。 

在 通过 模拟 环境 下 的 测试 后 ，12 月 15 日 ， 正 式 安装 了 防 病毒 系统 并 与 邮件 系统 连 
接 ， 完 善 了 邮件 系统 的 防 病毒 能 力 。 

(7) 本 次 项 目 实施 完成 后 ， 与 原 系统 比较 将 实现 以 下 功能 

@ 对 主干 和 二 级 单位 的 相应 设备 进行 升级 和 扩充 ， 实 现 了 省 公司 信息 中 心 与 基层 
供电 公司 155M/ATM 高 速 连接 。 

@ 辽宁 电力 信息 网 骨干 网 络 结构 更 加 清晰 ， 逐 步 实 现 了 住宅 小 区 及 外 围 单 位 的 接 
入 安全 ， 保 护 了 敏感 数据 应 用 。 

@ 更 好 地 实现 了 广域网 络 的 视频 会 议 系统 ， 提 高 了 图 像 质量 。 

@ 增加 了 核心 交换 设备 的 可 靠 性 ， 消 除了 局 域 网 核心 交换 机 物理 链 路 及 路 由 的 单 
点 故障 。 

@@ 解决 了 楼 层 客户 端点 数量 及 应 用 增加 ， 导 致 联网 速度 慢 的 问题 ， 实 现 100M 交换 
到 桌面 。 

拨号 服务 器 线路 实现 扩容 、 增 加 拨号 用 户 安全 认证 。 

@ 部 署 了 全 面 的 网 络 管理 软件 ， 减 轻 、 简 化 了 网 络 管理 员工 作 负担 。 

增加 了 网 络 存储 设备 的 容量 ， 有 利于 系统 备份 和 应 用 系统 扩展 。 

@@ ”Intranet/Intermet 采用 集中 的 管理 模式 ， 减 轻 、 简 化 了 管理 员 的 负担 ， 减 少 了 管 
理 成 本 ， 提 高 了 管理 效率 。 

目录 系统 采用 了 以 国际 先进 的 、 流 行 的 LDAP 协议 为 基础 的 目录 服务 器 ， 实 现 
了 用 户 的 集中 和 分 级 管理 ， 并 为 以 后 应 用 提供 标准 接口 ， 可 以 和 其 他 应 用 实现 无 颖 连接 。 

邮件 系统 实现 了 防 病毒 功能 ， 同 时 能 够 提供 企业 级 邮箱 的 服务 能 力 ， 为 全 省 邮 
件 系统 的 推广 打下 基础 。 

时 实现 了 互联 网 多 条 出 口 的 流量 负载 ， 和 互联 网 出 口 的 元 余 。 在 不 影响 用 户 的 情 
况 下 ， 可 以 随时 扩充 互联 网 出 口 带 宽 。 

手 DNS 系统 使 用 了 分 段 解析 的 功能 ， 能 够 在 一 个 DNS 服务 器 上 对 不 同 网 段 的 用 
户 解析 不 同 的 卫 地 址 。 使 一 个 DNS 系统 能 够 代替 多 个 DNS 服务 器 。 
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5.5.4 ”辽宁 电力 信息 网 络 系统 结构 优化 的 主要 成 果 


(1) 2000 年 , 辽宁 电力 信息 网 络 主干 网 由 原来 的 155M ATM 网 升 为 1000M 以 太 网 ， 
其 主 交 换 机 为 两 台 美国 Cabletron 公司 的 具有 第 四 层 交 换 功能 的 高 性 能 交换 机 SSR8600， 
同时 将 广 域 连接 所 属 单位 的 64Kbps 和 拨号 入 网 33Kbps 通信 速率 增 至 2Mbps, 使 2Mbps 
连接 的 所 属 单位 已 达 42 个 。 初步 具 备 了 广 域 宽带 网 络 信 息 交换 能 力 , 引进 了 两 台 高 性 能 
服务 器 .初步 建立 了 防 病毒 和 安全 检测 系统 ,采用 NetWork 网 络 数 据 存储 管理 软件 和 STK 
9730 磁带 库 系 统 解决 网 络 系统 及 用 户 数据 备份 及 灾难 恢复 ， 大 幅度 提高 了 网 络 安全 性 。 

(2) 2001 年 省 公司 信息 中 心 进行 了 信息 网 络 基础 平台 结构 优化 调整 工作 , 在 Intemet 
和 住宅 小 区 的 网 关 处 更 换 两 台 防 火 墙 ， 用 于 保护 应 用 系统 和 网 络 的 安全 ， 新 增 一 套 均衡 
负载 交换 机 ， 能 够 充分 利用 接 入 Internet 的 4 条 线路 , 新 增 了 一 个 容量 为 900GB 的 EMC 
存储 系统 , 来 完善 数据 的 存储 , 一 台 Cisco 7609 路 由 器 , 广域网 中 13 个 供电 公司 的 Cisco 
2509 路 由 器 更 新 为 Cisco 7204， 为 广域网 VPN 应 用 创造 了 条 件 。 

(3) 2002 年 ， 为 解决 办 公 自 动 化 Notes 软件 平台 升级 后 ，OA 系统 速度 慢 的 问题 和 
支持 生产 管理 信息 系统 建设 ,采用 4 台 4CPU 750MHz 主 频 的 IBM M85 服务 器 ， 组 成 双 
机 集群 共享 磁盘 阵列 系统 。 采用 两 台 4CPU 900MHz 主 频 的 SUN 3800 型 服务 器 ,组 成 双 
机 集群 应 用 服务 器 系统 ， 支 持 三 层 结构 系统 平台 高 效 运行 。 为 支持 广域网 及 城 域 网 路 由 
器 由 2M 到 100M/155M， 采 用 具有 256GB 背 板 容量 的 企业 级 Cisco 7609 主 路 由 器 和 13 
台 基 层 用 Cisco 7204 路 由 器 。 由 三 台中 央 交 换 机 组 成 主干 网 三 角形 交换 中 心 ， 整 合 了 广 
域 网 、 城 域 网 、 互 联网 防火 墙 系统 ， 建 立 了 广域网 防 病毒 系统 ， 为 承担 “十 五 ”国家 重 
大 科技 项 目 “ 电 力 系 统 信息 安全 示范 工程 ”优化 网 络 结构 和 性 能 打下 良好 基础 。 辽 宁 电 
力 信息 广域网 、 局 域 网 拓扑 图 等 见 附 图 。 

(4) 2003 年 在 网 络 系统 结构 优化 调整 的 同时 ， 进 行 了 应 用 系统 平台 的 优化 调整 ， 新 
增 两 台 SUNF3800 服务 器 ， 采 用 双 机 集群 技术 ， 用 于 辽宁 电力 信息 网 Intranet 网 络 安全 
管理 平台 和 应 用 服务 等 功能 ， 两 台 IBM M85 服务 器 ， 采 用 双 机 集群 技术 ， 用 于 完善 办 
公 自 动 化 系统 ， 对 原 有 应 用 系统 进行 升级 ， 建 立 了 集中 的 统一 用 户 管理 系统 ， 通 过 安全 
的 委托 管理 机 制 ， 实 现 统一 用 户 的 分 级 管理 ， 建 立 了 集中 、 统 一 管理 的 DNS 系统 ， 使 管 
理 简 单 化 ， 建 立 了 统一 的 邮件 平台 ， 在 为 本 地 用 户 提供 邮件 服务 的 同时 ， 能 够 为 基层 单 
位 提供 邮件 服务 ， 通 过 对 代理 系统 的 升级 和 设置 ， 能 够 对 用 户 的 所 有 访问 进行 控制 。 

(5) 辽 宁 电 力 信息 基础 平台 优化 工程 将 完成 广域网 13 个 单位 端口 带宽 由 2M 升级 到 
155M; 配置 主干 网 防火 墙 ， 建立 了 以 主干 交换 机 为 核心 的 3 个 服务 区 域 ; 建立 了 辽宁 电 
力 信息 网 公共 应 用 主机 平台 ; 构造 三 层 B/S 结构 的 开发 和 应 用 的 基础 平台 ; 建立 了 省 公 
司 系统 广域网 环境 下 的 邮件 系统 、 域 名 系统 、 代 理 系 统 、 目 录 系 统 ， 应 用 水 平 达 到 国际 
的 先进 水 平 ， 为 辽宁 省 电力 有 限 公司 信息 化 长 远 发 展 打下 了 良好 基础 。 


管理 平台 与 用 


随 着 规模 不 断 扩 大 ， 信 息 网 络 应 用 更 加 丰富 ， 大 量 网 络 信息 的 安全 监视 及 管理 越 来 
越 复杂 ， 加 强 网 络 信息 安全 监视 及 管理 十 分 重要 ， 建 设 网 络 信息 安全 监视 及 管理 平台 实 
现 综合 管理 成 为 必然 的 选择 。 

本 章 论 述 网 络 信息 安全 监视 及 管理 平台 主要 特点 及 功能 、 信 息 安 全 监视 及 管理 平台 
结构 和 组 织 架构 、 利 用 数据 仓库 技术 ， 综 合 分 析 网 络 信息 安全 状态 作出 评估 实施 方法 ， 
介绍 辽宁 电力 信息 安全 监视 及 管理 平台 实施 历程 及 取得 的 主要 成 果 。 


6. 1 信息 后 ` 女 安全 监视 及 管理 加 [| 台 总 体 功 能 


采用 各 种 标准 协议 , 实现 对 信息 网 络 中 各 种 系统 的 运行 状况 、 安 全 状况 的 全 面 监视 ， 
利用 数据 仓库 技术 ， 综 合 分 析 网 络 信息 安全 状态 作出 评估 分 析 是 本 节 介 绍 的 主要 内 容 。 


6.1.1 集中 统一 综合 信息 监视 及 管理 


信息 网 络 监 视 及 管理 平台 将 在 信息 网 络 中 构建 一 个 统一 的 安全 管理 框架 ， 实 现 了 集 
中 的 安全 策略 管理 、 安 全 信息 管理 、 安 全 评估 、 信 息 安 全 趋势 分 析 、 信 息 安 全 告警 等 功 
能 。 在 信息 网 络 中 大 量 使 用 了 各 种 各 样 的 网 络 管理 、 安 全 管理 系统 。 各 系统 依据 各 自 的 
需要 分 别 采 集 和 处 理 各 自 的 数据 ， 但 系统 间 缺 乏 有 效 的 信息 关联 。 此 外 ， 还 有 一 些 运行 
数据 直接 来 自 于 日 常 的 运行 管理 和 维护 。 对 于 运行 维护 和 安全 管理 人 员 来 说 ， 为 了 从 整 
体 上 评估 网 络 与 信息 系统 的 安全 状况 ， 采 取 最 优 的 管理 策略 和 应 急 处 置 方案 ， 必 须 将 这 
些 数据 进行 有 机 集成 和 统一 管理 ， 包 括 汇 总 关联 、 二 次 加 工 、 长 期 沉淀 、 相 互 引用 、 统 
一 表现 。 


6.1.2 ”标准 规范 集成 信息 监视 及 管理 


系统 设计 采用 各 种 标准 协议 ， 将 信息 网 中 与 安全 相关 的 信息 集中 ， 实 现 对 信息 网 络 
中 各 种 系统 的 运行 状况 、 安 全 状况 的 全 面 监视 。 利 用 数据 仓库 技术 做 灵活 的 展示 ， 包 含 
安全 产品 的 信息 、 网 络 的 性 能 信息 和 故障 信息 、 主 机 的 性 能 信息 和 故障 信息 、 数 据 库 的 
性 能 信息 和 故障 信息 以 及 应 用 系统 的 性 能 信息 和 故障 信息 ， 并 对 相关 信息 生成 定期 报 
表 ， 对 性 能 信息 作出 趋势 预测 。 在 出 现 异 常情 况 时 系统 能 够 及 时 报警 。 作 为 企业 内 部 主 
机 和 网 络 综合 管理 平台 ， 支 持 大 量 网 络 安全 产品 监视 信息 ， 包 含 主要 网 络 和 主机 日 常 管 
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理 的 功能 组 件 。 
6.1.3 ”快捷 高 效 预 等 信息 监视 及 管理 


企业 中 存在 的 普遍 问题 是 专业 的 信息 安全 管理 人 员 少 ， 要 全 面 掌 握 各 种 网 络 管理 、 
安全 管理 系统 有 一 定 难度 ， 管 理 成 本 也 较 高 。 用 户 可 以 通过 Web 的 方式 ， 以 图 形 的 方式 
查询 设备 的 运行 情况 ， 可 以 分 为 实时 和 历史 两 种 模式 ; 对 于 设备 运行 过 程 中 出 现 的 故障 
能 够 在 图 形 上 展现 出 来 ， 并 且 按 照 用 户 设 定 的 方式 进行 告警 ， 如 声 、 光 、E-mail 和 手机 
短 消 息 等 。 通 过 监视 网 络 安全 设备 信息 ， 最 终 从 展现 层 完 成 应 用 和 信息 的 整合 ， 使 用 户 
可 以 通过 信息 网 络 管理 及 监视 平台 直观 地 了 解 到 当前 网 络 中 的 问题 。 并 对 相关 信息 生成 
定期 报表 ， 对 性 能 信息 作出 趋势 预测 ， 对 网 络 信息 安全 状态 作出 评估 。 


6. 2 信息 局 女 安全 监视 及 管 理 TT 口 台 总 体 框架 


本 节 介 绍 信 息 安全 监视 及 管理 平台 组 织 架构 及 基本 功能 ， 分 析 信 息 安全 监视 及 管理 
平台 结构 划分 为 四 层次 基本 含义 。 


6.2.1 信息 安全 监视 及 管理 平台 结构 


信息 安全 监视 及 管理 平台 结构 划分 为 四 层 : 数据 采集 层 、 数 据 管理 层 、 表 示 层 、 综 
合 分 析 层 ， 如 图 6-1 所 示 。 

第 一 个 层次 是 网 络 基础 平台 ， 包 含 网 络 环境 、 主 机 系统 和 数据 库 系统 ， 这 个 层次 是 
整个 网 络 正常 运行 的 基础 。 网 络 环境 是 企业 信息 化 的 神经 系统 ， 而 主机 系统 和 数据 库 系 
统 是 企业 大 型 应 用 的 载体 。 如 果 这 个 基础 平台 的 安全 性 得 不 到 保障 ， 那 么 网 络 信息 安全 
就 无 从 谈 起 了 。 因 此 安全 监视 及 管理 平台 将 首先 关注 这 个 层次 。 对 网 络 设备 、 主 机 系统 
和 数据 库 系 统 的 运行 状况 进行 监控 。 

第 二 个 层次 是 安全 产品 层次 ， 这 一 层次 是 保障 信息 安全 的 功能 系统 ， 这 些 产 品 分 别 
从 不 同 侧面 监控 整个 网 络 的 信息 安全 ， 因 此 安全 信息 分 散 存 储 在 这 些 系 统 中 。 为 了 能 对 
整个 网 络 的 信息 安全 状况 进行 有 效 的 评估 ， 安 全 监视 及 管理 平台 必须 收集 这 些 安全 产品 
的 信息 。 

在 第 三 个 层次 上 ， 主 要 是 企业 中 的 应 用 系统 。 这 些 应 用 系统 是 安全 保护 的 终极 对 
象 ， 因 此 在 基础 平台 和 安全 产品 得 到 及 时 有 效 监控 的 前 提 下 ， 信 息 安全 监视 及 管理 平台 
还 要 对 应 用 系统 本 身 的 运行 信息 进行 收集 并 为 各 业务 应 用 系统 提供 网 络 信息 安全 技术 支 
持 和 服务 。 

在 第 四 个 层次 上 ， 将 信息 网 中 与 安全 相关 的 信息 集中 ， 利 用 数据 仓库 技术 从 展现 层 
完成 应 用 和 信息 的 整合 ， 使 用 户 可 以 通过 信息 网 络 管理 及 监视 平台 直观 地 了 解 到 当前 网 
络 中 的 问题 。 并 对 相关 信息 生成 定期 报表 ， 对 性 能 信息 作出 趋势 预测 ， 定 期 和 不 定期 对 
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网 络 信息 安全 状态 作出 风险 评估 。 


管理 信息 应 用 系统 


统一 用 户 管 理 | [ 信息 发 布 | | 企业 门户 | [ OA | 视频 未 统 ] [ 仁 产 数据 库 | [综合 查 询 数据 库 ] [其他 歼 据 库 


防 病毒 系统 


防火 墙 系统 


WPN 系 统 


Tiwali 网 管 
系统 


信息 网 络 系统 支撑 平台 
通信 网 广域网 主干 信息 网 主机 系统 数据 库 系统 


图 6-1 信息 安全 监视 及 管理 平台 结构 图 


6.2.2 ”信息 安全 监视 及 管理 平台 组 织 架 构 


信息 安全 监视 及 管理 平台 的 组 织 架构 划分 为 三 层 : 数据 采集 层 、 数 据 管理 层 、 表 
示 层 。 

1. 数据 采集 层 

主要 功能 是 根据 要 求 采集 被 管理 资源 (网络 设备 、 主 机 设备 、 数 据 库 系统 、 防 病毒 、 
防火 墙 、 入 侵 检测 、 漏 洞 扫描 、 存 储备 份 、VPN、PKIPMI) 的 各 种 原始 信息 ， 包 含 性 
能 数据 、 配 置 数据 、 故 障 数据 等 。 

数据 采集 层 将 所 管理 的 资源 (硬件 、 软 件 等 ) 参数 可 按照 一 定格 式 进行 预 处 理 ， 同 
时 要 求 遵循 标准 的 通信 协议 进行 输出 或 被 访问 。 

2. 数据 管理 层 

主要 是 完成 对 采集 来 的 各 类 资源 数据 的 处 理 ， 形 成 对 性 能 、 配 置 、 故 障 等 的 综合 管 
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理 ， 实 现 对 主机 、 网 络 、 数 据 库 、 存 储 、 备 份 、 中 间 件 以 及 应 用 软件 构成 的 应 用 系统 等 
的 统一 监控 和 管理 。 


3. 表示 层 


完成 平台 功能 的 统一 呈现 ， 可 以 提供 图 形 化 的 管理 界面 ， 实 现 对 被 管 资源 的 维护 管 
理 以 及 平台 系统 自身 的 管理 ， 实 现 对 被 管 资 源 的 统一 监控 和 管理 ， 保 障 电力 信息 网 络 的 
安全 运行 。 用 户 可 以 通过 Web 的 方式 ， 以 图 形 的 方式 查询 网 络 设备 的 运行 情况 ， 可 以 分 
为 实时 和 历史 两 种 模式 ， 对 于 设备 运行 过 程 中 出 现 的 故障 能 够 在 图 形 上 展现 出 来 ， 并 且 
按照 用 户 设 定 的 方式 进行 告警 ， 如 声 、 光 、E-mail 和 手机 短 消息 等 。 系 统 支 持 大 屏幕 显 
示 方 式 。 

根据 企业 发 展 及 信息 网 络 规模 的 不 断 扩 大 ， 各 级 信息 安全 监视 及 管理 平台 可 以 通过 
级 联 的 方式 在 广域网 络 系统 中 实现 一 体 化 信息 安全 监视 及 管理 ， 如 图 6-2 所 示 。 


图 6-2 信息 安全 监视 及 管理 平台 组 织 架构 图 


6.3 网络 信息 安全 监视 及 管理 平台 的 设计 
本 节 介绍 网 络 信息 安全 监视 及 管理 平台 系统 设计 基本 原则 及 系统 设计 的 主要 功能 。 


6.3.1 系统 设计 基本 原则 


根据 系统 建设 的 稳定 性 需求 和 信息 网 络 的 实际 情况 ， 以 及 未 来 长 期 的 可 扩展 性 要 
求 。 系 统 将 主要 构建 在 UNIX 系统 上 ， 数 据 存储 在 Oracle 数据 库 中 ,采用 DW (Data 
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Warehouse) 实现 Olap 分 析 和 Web 发 布 。 系 统 设计 主要 依据 以 下 原则 。 
(1) 系统 按照 开放 性 的 原则 设计 。 
(2) 按照 J2EE 架构 设计 实现 。 
(3) 支持 以 XML 为 基础 的 信息 定义 、 交 换 和 查询 。 
(4) 系统 采用 三 层 结构 ， 采 用 目前 流行 的 B/A/S 结构 。 
(5) 数据 存储 在 Oracle 数据 库 中 ， 保 证 了 信息 安全 监管 平台 数据 存储 的 稳定 性 。 
(6) 编程 语言 选择 Java， 使 系统 可 以 在 各 种 操作 系统 平台 上 使 用 。 
(7) 系统 采用 严格 的 权限 管理 策略 。 


6.3.2 ”系统 平台 设计 的 主要 功能 


1. 总 体 安全 评估 


总 体 安 全 评估 是 对 整个 系统 安全 状况 的 直观 表现 ， 平 台 通过 对 收集 到 的 各 种 信息 进 
行 分 析 后 根据 一 定 的 评估 规则 ， 对 信息 网 中 的 主要 系统 进行 自动 的 安全 状态 的 评估 。 安 
全 监控 人 员 可 以 通过 这 一 界面 对 系统 的 安全 状况 做 到 一 目 了 然 。 


2. 网 络 系统 管理 


网 络 部 分 包含 基础 平台 中 的 交换 机 、 路 由 器 和 防火 墙 等 设备 。 能 够 展现 这 些 设备 中 
的 CPU 利用 率 、 内 存 利 用 率 、 各 个 端口 流量 、 各 个 端口 状态 等 。 

性 能 管理 涉及 网 络 通信 信息 的 收集 、 加 工 和 处 理 等 一 系列 的 活动 。 其 目的 是 保证 在 
使 用 最 少 的 网 络 资源 和 具有 最 小 延迟 的 前 提 下 ， 网 络 提供 可 靠 、 连 续 的 通信 和 能力， 并 使 
网 络 资源 的 使 用 达到 最 优 的 程度 。 性 能 管理 至 少 应 包含 下 列 内 容 。 

(1) 采集 性 能 监控 与 性 能 相关 的 数据 : 定时 收集 被 管 设备 的 性 能 数据 ， 自 动 生成 性 
能 报告 。 收 集 的 性 能 参数 应 包括 如 下 内 容 。 

〇 端口 输入 /输出 利用 率 。 

@ 端口 输入 /输出 错误 率 。 

@ CPU 利用 率 。 

@ 链 路 利用 率 、 收 发 消息 数 、 丢 包 率 、 端 到 端 时 延 参数 。 

@ 以 上 参数 可 以 按 每 日 /每 周 /每 月 统计 。 

(2) 效 值 控制 :对 每 种 被 管 对 象 的 每 种 属性 设置 阔 值 ， 对 于 特定 被 管 对 象 的 特定 属 
性 ， 针 对 不 同 的 时 间 段 和 性 能 指标 设 定 阐 值 。 通 过 设置 的 阐 值 进行 阐 值 检查 ， 在 将 要 出 
现 性 能 问题 的 时 候 向 管理 人 员 告 警 。 阔 值 控制 可 以 根据 实际 情况 的 轻重 缓急 进行 分 级 别 
控制 。 

(3) 性 能 分 析 : 对 性 能 的 历史 数据 进行 分 析 和 整理 ， 计 算 性 能 指标 ， 对 性 能 状态 作 
出 判断 ， 为 网 络 规划 提供 参考 。 

(4) 可 视 化 的 性 能 报告 :对 性 能 管理 数据 进行 检索 和 处 理 ， 生 成 性 能 趋势 曲线 ， 以 
直观 的 图 形 方式 显示 性 能 的 分 析 结 果 。 

(5) 实时 性 能 监控 : 提供 实时 数据 采集 、 分析 和 可 视 化 的 工具 ， 用 以 对 流量 、 负 载 、 
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丢 包 、CPU 占用 率 、 内 存 占用 率 、 网络 延迟 等 网 络 设备 和 线路 的 性 能 指标 进行 实时 监测 ， 
并 可 任意 设置 数据 采集 的 时 间 段 。 
(6) 网 络 故障 监视 及 网 络 端口 性 能 数据 管理 。 


3. 主机 系统 管理 


主机 部 分 包含 系统 中 涉及 的 各 种 小 型 机 。 监 控 的 指标 项 包含 CPU 利用 率 、 内 存 利用 
率 、 空 间 使 用 率 等 ， 远 期 目标 还 包含 实现 对 下 列 信息 的 监控 。 

(1) 虚拟 内 存 (Virtual memory) 利用 率 。 

(2) 消息 队列 空间 使 用 情况 ; 文件 系统 使 用 情况 ， 显 示 磁盘 空间 和 已 用 i-node 节点 数 。 

(3) 监视 文件 系统 的 使 用 率 ， 当 使 用 率 超过 特定 阔 值 时 向 系统 管理 员 报警 。 

(4) 监视 重要 的 文件 ， 如 发 现 文件 被 修改 或 文件 大 小 迅速 增长 时 向 系统 管理 员 报警 
和 产生 相应 的 动作 。 

(5) 日 志文 件 的 变化 情况 ， 可 跟踪 操作 系统 、 数 据 库 及 用 户 应 用 系统 的 日 志文 件 ， 
根据 日 志 中 出 现 的 特定 信息 进行 报警 或 自动 执行 用 户 预定 义 的 动作 。 

(6) 进程 的 运行 情况 ， 如 进程 多 个 实例 、 子 进程 、 进 程 对 CPU/ 内 存 的 占用 情况 等 。 
当 重 要 进程 因 意 外 原因 终止 时 ， 可 根据 需要 自动 重启 ， 并 将 报警 信息 写 入 事件 日 志 。 

(7) 主机 监控 及 数据 管理 。 


4. 数据 库 系统 管理 


(1) 对 数据 库 的 可 用 性 监控 ， 能 够 监控 数据 库 引擎 的 关键 参数 ， 例 如 ， 数 据 库 系 统 
设计 的 文件 存储 空间 、 系 统 资源 的 使 用 率 、 配 置 情况 、 数 据 库 当前 的 各 种 锁 资 源 情 况 、 
监控 数据 库 进程 的 状态 、 进 程 所 占 内 存 空 间 等 。 在 参数 到 达 门 限 值 时 通过 网 管 系统 的 事 
件 管理 机 制 发 出 警告 ， 报 告 给 数据 库 管理 员 ， 以 便 及 时 采取 措施 。 

(2) 数 据 库 文件 系统 监控 , 可 以 对 数据 库 设备 或 其 敏感 文件 所 在 的 文件 系统 进行 监控 。 

(3) 表 空 间 使 用 情况 ， 可 以 对 数据 库 中 的 表 空 间 进行 监控 ， 包 括 该 表 空 间 的 分 配 空 
间 、 已 用 空间 和 表 记 录 数 的 情况 。 

(4) 事物 日 志 空 间 的 使 用 情况 ， 事 物 日 志文 件 是 数据 库 对 每 一 个 数据 库 所 发 生 事务 
的 记录 。 日 志 只 有 在 事务 完成 后 ， 才 能 够 删除 (dump )。 当 一 个 数据 库 的 日 志文 件 满 了 
以 后 ， 对 此 数据 库 的 任何 操作 都 不 能 进行 。 


S. PKI-CA 系统 管理 


平台 通过 与 PKI-CA 系统 的 数据 接口 ， 可 以 获得 PKI-CA 系统 的 发 证 信息 、 认 证 信 
息 和 其 他 系统 运行 信息 等 ， 并 可 以 给 出 统计 分 析 。 

6. 入 侵 监 测 (IDS) 系统 管理 

入 侵 检测 系统 将 攻击 日 志 存 储 在 数据 库 中 ， 主 要 攻击 信息 存储 在 数据 表 Attlog 中 。 


台 可 以 获得 攻击 日 志 信息 ， 并 可 以 根据 攻击 日 志 获得 统计 信息 如 网 络 中 发 起 攻击 的 主 
要 攻击 源 和 主要 被 攻击 源 等 。 
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7. 防火 墙 管理 


信息 网 络 中 的 防火 墙 设备 包含 Nokia (checkpoint) 防火 墙 和 网 眼 防火 墙 。 

Nokia 防火 墙 的 数据 采集 通过 NetIQ 软件 NetIQ 经 过 日 志 数据 的 定时 处 理 生成 报表 
数据 存储 在 MySQL 数据 库 中 。 监 视 平 台 从 MySQL 数据 库 中 取得 数据 。 对 于 网 眼 防火 
墙 ， 日 志 数 据 可 以 存储 在 My SQL 数据 库 中 。 监 视 平台 直接 从 数据 库 中 读 取 日 志 数 据 。 


8. 应 用 系统 管理 


(1) 监视 及 管理 平台 可 以 对 应 用 系统 的 运行 状况 进行 监控 ， 便 于 系统 管理 员 了 解 应 
用 系统 的 运行 状况 。 

(2) 监视 及 管理 平台 可 以 监控 应 用 系统 的 关键 进程 。 

(3) 监视 及 管理 平台 可 以 监控 应 用 系统 的 日 志 情 况 。 

(4) 监视 及 管理 平台 可 以 监控 应 用 系统 的 响应 时 间 情 况 。 

(5) Portal 提供 的 状态 或 日 志 信 息 。 

(6) 没有 状态 信息 。 

(7) 日 志 提供 服务 器 正常 启动 信息 。 

(8) 用 户 访问 应 用 信息 ， 访 问 正常 或 错误 信息 。 

(9) 程序 异常 信息 。 

(10) 邮件 系统 提供 信息 (E-mail)。 

(11) 每 天 收发 邮件 总 数 。 

(12) 当前 队列 总 数 。 

(13) 用 户 邮 箱 使 用 情况 信息 。 

(14) 用 户 管理 系统 提供 信息 (ldap)。 

(15) 系统 用 户 总 数 ， 包 括 : 省 公司 和 各 局 。 

(16) WWW 系统 提供 信息 。 

(17) 日 志 信息 ， 包 括 用 户 访 问 信 息 ， 错 误 信息 。 

(18) 系统 状态 信息 ， 包 括 当前 会 话 数 ， 处 理会 话 的 总 数 ， 平 均 相应 时 间 ，WebBase 
形式 (www)。 


9. 配置 管理 


平台 还 提供 一 个 配置 管理 功能 ， 用 以 记录 系统 主要 设备 的 配置 情况 等 信息 ， 配 置 管 
理 只 要 是 将 系统 中 设备 的 配置 情况 做 一 个 记录 ， 可 以 查询 统计 。 比 如 ， 对 网 络 设备 的 硬 
件 配 置 情况 和 脚本 配置 情况 进行 管理 。 在 设备 发 生 故 障 需要 恢复 的 时 候 能 方便 地 恢复 。 


6.4 ”网 络 信息 安全 监视 及 管理 平台 应 用 实例 


本 节 介 绍 辽 宁 电力 网 络 信息 安全 监视 及 管理 平台 具有 的 主要 特点 及 功能 ， 论 述 项 目 
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实施 历程 及 取得 的 主要 成 果 。 
6.4.1 项 目 综 述 


2003 年 辽宁 省 电力 有 限 公司 承担 的 《辽宁 电力 信息 网 络 安全 示范 工程 》 在 安全 示 
范 工程 中 , 为 了 保障 辽宁 电力 网 络 的 信息 安全 , 在 电力 信息 网 中 配置 了 大 量 的 安全 产品 ， 
如 防火 墙 、 入 侵 监 测 、 防 病毒 系统 、PKI-CA 证 书 系 统 等 ， 这 些 安全 设备 的 引入 ， 很 大 
程度 上 保障 了 辽宁 电力 信息 网 络 的 安全 ， 但 是 随 之 而 来 的 还 有 这 些 安全 设备 与 系统 的 维 
护 工作 ， 对 于 省 电力 公司 信息 中 心 有 限 的 技术 人 员 来 说 ， 这 些 工作 比较 烦琐 。 这 些 系统 
部 署 在 辽宁 电力 信息 网 中 ， 安 全 信息 分 散在 这 些 系 统 中 ， 为 了 及 时 有 效 地 了 解 这 些 系统 
的 运行 状况 ， 对 整个 网 络 的 安全 状况 作出 评估 。 

辽宁 省 电力 有 限 公司 与 北京 东 华 合 创 数码 科技 股份 有 限 公司 合作 ， 设 计 和 开发 了 一 
套 信息 安全 监视 及 管理 平台 。 平 台 设 计 符 合 辽 宁 电 力 网 络 信息 安全 的 实际 需要 ， 按 照 辽 
宁 电力 网 络 信息 安全 的 逻辑 层次 ， 构 建 了 从 基础 网 络 平台 、 安 全 产品 到 应 用 系统 的 信息 
安全 监视 及 管理 体系 ， 全 方位 地 保障 电力 网 络 的 安全 。 并 对 收集 的 安全 信息 进行 有 机 的 
关联 整合 ， 自 动 地 对 电力 网 络 安全 状况 作出 评估 。 


6.4.2 ”网 络 信息 安 全 监视 及 管理 平台 主要 特点 


综合 安全 监视 及 管理 平台 的 设计 和 开发 的 主要 特点 如 下 。 

(1) 管理 的 范围 比较 广泛 : 包含 了 电力 企业 中 可 能 涉及 的 各 种 IT 设备 与 系统 ， 是 一 
个 全 面 管 理 的 系统 平台 ; 而 一 般 的 系统 只 能 管理 其 中 的 一 个 或 者 几 个 部 分 ， 没 有 实现 全 
面 集中 的 管理 模式 。 

(2) 统一 的 策略 管理 框架 ， 为 安全 产品 的 策略 统一 管理 葛 定 了 基础 ， 与 部 分 产品 实 
现 了 策略 的 统一 管理 。 平 台 的 策略 框架 包括 : 知识 库 管 理 (具体 描述 事件 的 详细 定义 ); 
策略 实例 管理 (具体 描述 当前 可 用 的 策略 );， 策略 的 存储 机 制 ; 策略 的 传送 机 制 ;， 其 他 安 
全 产品 的 联动 接口 等 多 种 构件 。 统 一 的 策略 管理 能 够 大 大 减少 网 络 安全 维护 人 员 的 工作 
量 ， 实 现 了 统一 的 策略 管理 。 

(3) 系统 安全 方面 : 采用 基于 SSL 规范 的 数据 通讯 技术 ， 子 系统 间 的 通信 采用 高 安 
全 性 的 数据 交换 信道 ， 确 保 信 息 传输 的 可 靠 性 。 

(4) 管理 能 力 : 一 个 管理 域 支持 50 个 主 安全 设备 (包括 多 种 安全 设备 ) /一 个 管理 
域 可 以 包括 9 级 安全 域 ， 最 多 有 50 个 安全 域 / 可 以 支持 9 个 级 联 管理 级 别 ， 每 级 可 以 支 
持 99 个 同 级 的 安全 管理 中 心 /系统 的 审计 域 总 数 不 超过 50 个 ,每 个 审计 域 能 够 管理 的 主 
机 数量 不 超过 1000 个 。 

(5) 处 理 能 力 : 可 以 实时 监控 和 处 理 60000 条 /分 的 安全 事件 ， 具 备 10 亿 条 以 上 规 
模 的 数据 管理 和 分 析 能 力 ， 能 够 适应 恶劣 、 复 杂 的 应 用 环境 的 高 负载 处 理 。 

(6) 安装 与 配置 十 分 方便 : 有 一 些 软件 系统 虽然 实现 了 部 分 功能 ， 但 是 其 使 用 和 安 
装 都 很 复杂 ， 一 般 的 使 用 和 操作 人 员 掌 握 不 了 ， 不 利于 系统 的 推广 ， 而 本 系统 平台 的 安 
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装 、 配 置 和 使 用 都 十 分 简单 。 

(7) 非 代 理 式 监测 : 本 系统 平台 采用 模拟 系统 管理 操作 的 方式 采集 数据 ， 无 需 在 被 
监测 服务 器 上 安装 任何 代理 软件 ， 对 现 有 系统 性 能 影响 甚 微 。 

(8) 报警 指标 丰富 : 一 般 的 系统 只 能 实现 对 设备 CPU 利用 率 或 内 存 利 用 率 的 报警 ， 
本 平台 则 可 实现 对 多 项 指标 进行 报警 ， 比 如 ， 网 络 中 最 流行 的 病毒 、 网 络 中 感染 病毒 最 
多 的 机 器 、 网 络 中 被 攻击 次 数 最 多 的 设备 等 。 

(9) 事件 关联 分 析 ， 本 平台 采用 多 角度 安全 事件 关联 分 析 ， 对 影响 电力 信息 网 络 安 
全 运行 的 各 种 事件 进行 综合 分 析 ， 协 助 管理 人 员 找 出 关键 事件 ， 尽 快 地 排除 故障 ， 解 决 
安全 隐患 。 

(10) 本 平台 采用 分 级 别 部 署 形式 ， 在 电力 信息 网 络 中 形成 多 级 安全 防 控 体系 ， 这 
种 部 署 形式 和 电力 企业 的 管理 组 织 形式 是 一 致 的 。 

(11) 本 平台 系统 符合 电力 企业 的 使 用 环境 ， 由 于 本 系统 在 电力 企业 现场 开发 ， 并 且 
经 过 了 两 级 电力 企业 的 应 用 ， 因 此 系统 本 身 无 论 从 技术 特性 还 是 从 管理 特性 都 非常 适用 
于 电力 企业 的 推广 使 用 。 


6.4.3 网 络 信息 安全 监视 及 管理 平台 具有 的 主要 功能 


1. 总 体 安全 评估 


总 体 安全 评估 是 对 整个 系统 安全 状况 的 直观 表现 ， 平 台 通 过 对 收集 到 的 各 种 信息 进 
行 分 析 后 根据 一 定 的 评估 规则 ， 对 电力 信息 网 中 的 主要 系统 进行 自动 的 安全 状态 的 评 
估 。 安 全 监控 人 员 可 以 通过 这 一 界面 对 系统 的 安全 状况 做 到 一 目 了 然 〈 见 图 6-3)。 


2. 网 络 系统 管理 


网 络 部 分 包含 基础 平台 中 的 交换 机 、 路 由 器 和 防火 墙 等 设备 。 能 够 展现 这 些 设备 中 
的 CPU 利用 率 、 内 存 利 用 率 、 各 个 端口 流量 、 各 个 端口 状态 等 。 

性 能 管理 涉及 网 络 通信 信息 的 收集 、 加 工 和 处 理 等 一 系列 的 活动 。 其 目的 是 保证 在 
使 用 最 少 的 网 络 资源 和 具有 最 小 延迟 的 前 提 下 ， 网 络 提供 可 靠 、 连 续 的 通信 能 力 ， 并 使 
网 络 资源 的 使 用 达到 最 优 的 程度 。 性 能 管理 至 少 应 包含 下 列 内 容 。 

(1) 采集 性 能 监控 与 性 能 相关 的 数据 : 定时 收集 被 管 设备 的 性 能 数据 ， 自 动 生成 性 
能 报告 。 收 集 的 性 能 参数 应 包括 如 下 内 容 。 

Q 端口 输入 /输出 利用 率 。 

@ 端口 输入 /输出 错误 率 。 

@@ CPU 利用 率 。 

@ 链 路 利用 率 、 收 发 消息 数 、 丢 包 率 、 端 到 端 时 延 参数 。 

@ 以 上 参数 可 以 按 每 日 /每 周 /每 月 统计 。 

(2) 阔 值 控制 : 对 每 种 被 管 对 象 的 每 种 属性 设置 阔 值 ， 对 于 特定 被 管 对 象 的 特定 属 
性 ， 针 对 不 同 的 时 间 段 和 性 能 指标 设 定 阔 值 。 通 过 设置 的 阔 值 进行 阔 值 检查 ， 在 将 要 出 
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现 性 能 问题 的 时 候 向 管理 人 员 告警 。 阔 值 控制 可 以 根据 实际 情况 的 轻重 缓急 进行 分 级 别 
控制 。 

(3) 性 能 分 析 : 对 性 能 的 历史 数据 进行 分 析 、 分 析 和 整理 ， 计 算 性 能 指标 ， 对 性 能 
状态 作出 判断 ， 为 网 络 规划 提供 参考 。 

(4) 可 视 化 的 性 能 报告 : 对 性 能 管理 数据 进行 检索 和 处 理 ， 生 成 性 能 趋势 曲线 ， 以 
直观 的 图 形 方式 显示 性 能 的 分 析 结果 。 


[OF Ea 


图 6-3 信息 安全 监视 及 管理 平台 网 管 示意 图 


(5) 实时 性 能 监控 : 提供 实时 数据 采集 、 分 析 和 可 视 化 的 工具 ， 用 以 对 流量 、 负 载 、 
丢 包 、CPU 占用 率 、 内 存 占 用 率 、 网络 延迟 等 网 络 设备 和 线路 的 性 能 指标 进行 实时 监测 ， 
并 可 任意 设置 数据 采集 的 时 间 段 。 

(6) 网 络 故障 监视 。 

(7) 网 络 端口 性 能 数据 。 


3. 主机 系统 管理 


主机 部 分 包含 系统 中 涉及 到 的 各 种 小 型 机 。 监 控 的 指标 项 包含 CPU 利用 率 、 内 存 利 
用 率 、 空 间 使 用 率 等 ， 实 现 对 下 列 信 息 的 监控 〈 见 图 6-4)。 

(1) 虚拟 内 存 (Virtual memory) 利用 率 ; 

(2) 消息 队列 空间 使 用 情况 ; 

(3) 文件 系统 使 用 情况 ， 显 示 磁 盘 空间 和 已 用 i-node 节点 数 ; 

(4) 监视 文件 系统 的 使 用 率 ， 当 使 用 率 超过 特定 阔 值 时 向 系统 管 理 员 报警 ; 
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(5) 监视 重要 的 文件 ， 如 发 现 文件 被 修改 或 文件 大 小 迅速 增长 时 向 系统 管理 员 报 警 
和 产生 相应 的 动作 ; 

(6) 日 志文 件 的 变化 情况 ， 可 跟踪 操作 系统 、 数 据 库 及 用 户 应 用 系统 的 日 志文 件 ， 
根据 日 志 中 出 现 的 特定 信息 进行 报警 或 自动 执行 用 户 预定 义 的 动作 ; 

(7) 进程 的 运行 情况 ， 如 进程 多 个 实例 、 子 进程 、 进 程 对 CPU/ 内 存 的 占用 情况 等 
等 。 当 重要 进程 因 意 外 原因 终止 时 ， 可 根据 需要 自动 重启 ， 并 将 报警 信息 写 入 事件 日 志 。 
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图 6-4 信息 安全 监视 及 管理 平台 主机 监控 示意 图 
4. 数据 库 系统 管理 


(1) 对 数据 库 的 可 用 性 监控 ， 能 够 监控 数据 库 引擎 的 关键 参数 ， 例 如 ， 数 据 库 系 统 
设计 的 文件 存储 空间 、 系 统 资源 的 使 用 率 、 配 置 情况 、 数 据 库 当 前 的 各 种 锁 资源 情况 、 
监控 数据 库 进 程 的 状态 、 进 程 所 占 内 存 空间 等 。 在 参数 到 达 门限 值 时 通过 网 管 系统 的 事 
件 管理 机 制 发 出 警告 ， 报 告 给 数据 库 管理 员 ， 以 便 及 时 采取 措施 。 

(2) 数据 库 文件 系统 监控 ， 可 以 对 数据 库 设 备 或 其 敏感 文件 所 在 的 文件 系统 进行 
监控 。 

(3) 表 空 间 使 用 情况 ， 可 以 对 数据 库 中 的 表 空 间 进行 监控 ， 包 括 该 表 空间 的 分 配 空 
间 、 己 用 空间 、 表 记录 数 的 情况 。 

(4) 事物 日 志 空 间 的 使 用 情况 ， 事 物 日 志文 件 是 数据 库 对 每 一 个 数据 库 所 发 生 事务 
的 记录 。 日 志 只 有 在 事务 完成 后 ， 才 能 够 删除 (dump )。 当 一 个 数据 库 的 日 志文 件 满 了 
以 后 ， 对 此 数据 库 的 任何 操作 都 不 能 进行 。 
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S. PKI-CA 系统 管理 


平台 通过 与 PKI-CA 系统 的 数据 接口 ， 可 以 获得 PKI-CA 系统 的 发 证 信息 、 认 证 信 
息 和 其 他 系统 运行 信息 等 ， 并 可 以 给 出 统计 分 析 〈 见 图 6-5)。 
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图 6-5 信息 安全 监视 及 管理 平台 PKI-CA 示意 图 


6. 入 侵 监 测 (IDS) 系统 管理 


绿 盟 入 侵 检测 系统 将 攻击 日 志 存储 在 数据 库 中 ， 主 要 攻击 信息 存储 在 数据 表 Attlog 
中 。 平 台 可 以 获得 攻击 日 志 信息 ， 并 可 以 根据 攻击 日 志 获得 统计 信息 如 网 络 中 发 起 攻击 
的 主要 攻击 源 和 主要 被 攻击 源 等 。 

7. 防火 墙 管理 

辽宁 电力 信息 网 络 中 的 防火 墙 设备 包含 Nokia (checkpoint) 防火 墙 和 东 大 网 眼 防 
火 墙 。 

Nokia 防火 墙 的 数据 采集 通过 NetIQ 软件 NetIQ 经 过 日 志 数 据 的 定时 处 理 生成 报表 
数据 存储 在 MySQL 数据 库 中 。 监 视 平 台 从 MySQL 数据 库 中 取得 数据 。 对 于 东 大 网 眼 
防火 墙 ， 日 志 数据 可 以 存储 在 MySQL 数据 库 中 。 监 视 平台 直接 从 数据 库 中 读 取 日 志 
数据 。 


8. 应 用 系统 管理 
(1) 监视 及 管理 平台 可 以 对 应 用 系统 的 运行 状况 进行 监控 ， 便 于 系统 管理 员 了 解 应 
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用 系统 的 运行 状况 ; 

(2) 监视 及 管理 平台 可 以 监控 应 用 系统 的 关键 进程 ; 

(3) 监视 及 管理 平台 可 以 监控 应 用 系统 的 日 志 情 况 ; 

(4) 监视 及 管理 平台 可 以 监控 应 用 系统 的 响应 时 间 情 况 ; 

(5) Portal 提供 的 状态 或 日 志 信 息 ; 

(6) 没有 状态 信息 ; 

(7) 日 志 提供 服务 器 正常 启动 信息 ; 

(8) 用 户 访问 应 用 信息 ， 访 问 正常 或 错误 信息 ; 

(9) 程序 异常 信息 ; 

(10) 邮件 系统 提供 信息 (E-mail); 

(11) 每 天 收发 邮件 总 数 ; 

(12) 当前 队列 总 数 ; 

(13) 用 户 邮箱 使 用 情况 信息 ; 

(14) 用 户 管理 系统 提供 信息 (ldap); 

(15) 系统 用 户 总 数 ， 包 括 : 省 公司 和 各 局 ; 

(16) WWW 系统 提供 信息 ; 

(17) 日 志 信息 ， 包 括 用 户 访 问 信 息 ， 错 误 信 息 ; 

(18) 系统 状态 信息 ， 包 括 当前 会 话 数 ， 处 理会 话 的 总 数 ， 平 均 相 应 时 间 ，WebBase 
形式 (www)。 


9. 配置 管理 


平台 还 提供 一 个 配置 管理 功能 ， 用 以 记录 系统 主要 设备 的 配置 情况 等 信息 ， 配 置 管 
理 只 要 是 将 系统 中 设备 的 配置 情况 做 一 个 记录 ， 可 以 查询 统计 。 比 如 ， 对 网 络 设备 的 硬 
件 配置 情况 和 脚本 配置 情况 进行 管理 。 在 设备 发 生 故 障 需要 恢复 的 时 候 能 方便 地 恢复 。 


6.4.4 项 目 实施 工作 历程 及 取得 的 主要 成 果 


2003 年 开始 在 辽宁 省 公司 信息 中 心 部 署 了 一 套 信息 安全 监视 及 管理 平台 ， 对 全 省 信 
息 网 络 中 的 网 络 系统 、 主 机 系统 、 数 据 库 系 统 、 防 火 墙 系统 、 防 病毒 系统 、 入 侵 监测 系 
统 进行 集中 的 监控 管理 。 主 要 包含 事件 监控 和 性 能 分 析 等 功能 。 此 平台 从 2003 年 9 月 开 
始 实施 , 在 2004 年 2 月 和 其 他 系统 一 起 通过 了 由 国家 密码 办 组 织 的 “安全 示范 工程 ”的 
验收 工作 ， 并 得 到 了 验收 专家 的 较 高 评价 。 本 次 项 目 管理 的 重点 在 于 骨干 网 络 设备 与 省 
公司 信息 中 心 的 安全 设备 ， 经 过 本 平台 的 建设 ， 初 步 明确 了 信息 安全 监视 及 管理 平台 的 
管理 范围 ， 探 索 出 了 各 种 安全 设备 的 管理 方法 和 数据 采集 方法 ， 解 决 了 安全 监视 平台 中 
的 一 些 技术 难点 。 

项 目 实施 完成 的 主要 工作 如 下 。 

(1) 信息 安全 监视 和 管理 的 交换 机 和 路 由 器 列表 (共计 48 台 网 络 设备 )， 如 表 6-1 
所 示 。 
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表 6-1 信息 安全 监视 和 管理 的 交换 机 和 路 由 器 列表 

管理 的 内 容 和 范围 
各 个 端口 的 流量 信息 
带宽 利用 率 ，CPU 利用 率 ， 交 换 机 的 通 断 率 ， 每 5 
分 钟 取 一 次 数据 ， 包 含 Internet 接 入 部 分 
各 个 端口 的 流量 信息 
带宽 利用 率 ，CPU 利用 率 ， 每 5 分 钟 取 一 次 数据 
各 个 端口 的 流量 信息 
带宽 利用 率 ，CPU 利用 率 ， 每 5 分 钟 取 一 次 数据 
各 个 端口 的 流量 信息 
带宽 利用 率 ，CPU 利用 率 ， 每 5 分 钟 取 一 次 数据 
各 个 端口 的 流量 信息 
带宽 利用 率 ，CPU 利 
各 个 端口 的 流量 信息 
带宽 利用 率 ，CPU 利用 率 ， 每 5 分 钟 取 一 次 数据 
各 个 端口 的 流量 信息 
带宽 利用 率 ，CPU 利用 率 ， 每 5 分 钟 取 一 次 数据 


路 由 设备 连接 各 个 电厂 
Es 各 个 端口 的 流量 信息 
En 带宽 利用 率 ，CPU 利用 率 ， 每 5 分 钟 取 一 次 数据 


ELS100 
ELS100 
连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 大 连 供电 公司 ”| 连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 两 锦 供电 公司 。 | 连通 率 ， 每 10 分 钟 取 一 次 数据 
Cisco 7204 路 由 设备 鞍山 供 


连通 率 ， 每 10 分 钟 取 一 次 数据 
Cisco 7204 路 由 设备 抚顺 供电 公 


连通 率 ， 每 10 分 钟 取 一 次 数据 
Cisco 7204 路 由 设备 丹东 供电 公 
Cisco 7204 路 由 设备 本 溪 供 


连通 率 ， 每 10 分 钟 取 一 次 数据 
电 公 
Cisco 7204 路 由 设备 辽阳 供电 公 


交换 机 名 称 


SSR8600A 


SSR8600B 


SSR8600C 主 交 换 机 


SSR8600D 主 交换 机 


主 交换 机 


路 由 设备 
连接 13 个 电 业 局 


SSR8000 


率 ， 每 5 分 钟 取 一 次 数据 


Cisco 7609 


ES 
ES 
Cisco 7204 
Cisco 7204 
Cisco 7204 


oial|lal 


电 公 
电 公 


下 | 到 | 到 | 到 


连通 率 ， 每 10 分 钟 取 一 次 数据 
Cisco 7204 


路 由 设备 营口 供电 公 


连通 率 ， 每 10 分 钟 取 一 次 数据 


连通 率 ， 每 10 分 钟 取 一 次 数据 
Cisco 7204 


路 由 设备 朝阳 供电 公 


连通 率 ， 每 10 分 钟 取 一 次 数据 


Cisco 7204 


路 由 设备 铁岭 供电 公 


连通 率 ， 每 10 分 钟 取 一 次 数据 


Cisco 7204 


路 由 设备 阜新 供电 公 


1 到 | 到 | 到 | 到 | 到 


了 


连通 率 ， 每 10 分 钟 取 一 次 数据 


Cisco 7204 路 由 设备 盘锦 供电 公 
Cisco 2509 路 由 设备 朝阳 发 电厂 


连通 率 ， 每 10 分 钟 取 一 次 数据 
连通 率 ， 每 10 分 钟 取 一 次 数据 
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交换 机 名 称 设备 类 别 管理 的 内 容 和 范围 
Cisco 2509 路 由 设备 锦州 东港 发 电厂 | 连通 率 ， 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 铁岭 发 电厂 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 节能 公司 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 桓 仁 发 电厂 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 送 变 电 公司 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 太平 哨 发 电厂 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 清河 发 电厂 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 绥 中 发 电厂 每 10 分 钟 取 一 次 数据 
Cisco 2509 路 由 设备 锦州 电 校 每 10 分 钟 取 一 次 数据 


路 由 设备 盘锦 供电 公司 ”| 连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 里 新 发 电厂 连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 兴 城 疗养 院 连通 率 ， 每 10 分 钟 取 一 次 数据 


路 由 设备 辽宁 发 电 连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 辽宁 能 港 发 电厂 | 连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 沈 海 发 电 连通 率 ， 每 10 分 钟 取 一 次 数据 


路 由 设备 沈阳 电 专 连通 率 ， 每 10 分 钟 取 一 次 数据 


路 由 设备 通讯 公司 连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 抚顺 发 电厂 连通 率 ， 每 10 分 钟 取 一 次 数据 
路 由 设备 沈阳 电厂 连通 率 ， 每 10 分 钟 取 一 次 数据 


利用 广域网 络 拓扑 图 来 整体 监视 辽宁 电力 信息 网 络 的 故障 情况 ， 如 图 6-6 所 示 。 


司 
ET] Trew 


6-6 ”信息 安全 监视 及 管理 平台 网 络 管理 示意 图 
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图 6-6 中 有 故障 的 节点 将 用 闪烁 的 红 点 和 黄 点 显示 ， 其 中 红 点 显示 的 表示 此 节点 连 
接 已 经 中 断 ， 而 黄 点 显示 的 表示 到 此 节点 的 连接 丢 包 率 过 高 超过 40%)。 
平台 还 可 以 详细 了 解 网 络 设备 中 每 个 端口 的 使 用 情况 ， 如 图 6-7 所 示 。 


汝 这 宁 电 力 网 络 安全 季 视 及 管理 平台 - Microsok Intcrnct Explorer 


EC EE 
+ 了 同 目 人身 | 凤 过 量 Wa 如 人 地 | 司 - 马 卫 国 


i [rep /0.160.1.136:7001 /power ssorvee /ne Kloy. Pp? rhei=0c 10Er on pt op rabriarme orchik Mi 了 ep 到 | 锯 委 >” 


scel509 尖 全 必用 村 日 天 家 
单位 名) IE A (EN 
ciseo7609 综 台 埋 宣 利 用 宗 习 报 表 


3 ET 


i [TiE 四 


rr I 


通关 | 司 疝 的 于 加 | 国电 旋 关 和 Pi 全 .| 汶 Mhivesseno | 三 电力 RM 二， | [ET 了 SEE | 信友 加 村 副 G 久 加 加 外 “6 
图 6-7 信息 安全 监视 及 管理 平台 网 络 设备 中 每 个 端口 的 使 用 情况 


还 可 以 选 定 任意 一 个 端口 查看 其 使 用 情况 。 

网 络 管理 中 还 集成 了 现 有 的 网 络 流量 分 析 设 备 ， 对 流量 中 协议 的 分 类 情况 进行 分 
析 ， 便 于 使 用 者 掌握 流量 的 组 成 情况 。 

(2) 监视 和 管理 的 主机 列表 (共计 38 台 主机 )， 如 表 6-2 所 示 。 


表 6-2 ”信息 安全 监视 和 管理 的 监视 和 管理 的 主机 列表 
主机 名 称 管理 的 内 容 和 范 

SBJ1 CPU 利用 率 ， 内 存 利用 率 ， 连 通 率 

社保 局 服务 器 1 每 5 分 钟 取 一 次 数据 

SBJ2 CPU 利用 率 ， 内 存 利用 率 ， 连 通 率 

社保 局 服务 器 2 每 5 分 钟 取 一 次 数据 
CPU 利用 率 ， 内 存 利用 率 ， 连 通 率 
每 5 分 钟 取 一 次 数据 


CPU 利用 率 ， 内 存 利用 率 ， 网 络 入 
OA 服务 器 1 流量 ， 网 络 出 流量 ， 连 通 率 


每 5 分 钟 取 一 次 数据 


SUN480 
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卫 地 址 位 置 ”| 操作 系统 管理 的 内 容 和 范围 

CPU 利用 率 ， 内 存 利用 率 ， 网 络 入 
流量 ， 网 络 出 流量 ， 连 通 率 

每 5 分 钟 取 一 次 数据 

CPU 利用 率 ， 内 存 利用 率 ， 连 通 率 
每 5 分 钟 取 一 次 数据 

CPU 利用 率 ， 内 存 利用 率 ， 连 通 率 
每 5 分 钟 取 一 次 数据 

CPU 利用 率 ， 内 存 利 用 率 ， 网 络 入 
IBM M85 流量 ， 网 络 出 流量 ， 连 通 率 

每 5 分 钟 取 一 次 数据 

CPU 利用 率 , 内 存 利用 率 , 连通 率 ， 
IBM M85 网 络 入 流量 ， 网 络 出 流量 ， 每 5 分 
钟 取 一 次 数据 


IOWS 


IX 


IBMF50 706 


HPLH3000 


HPLH3000 


COMPAQ 
ML530RG2 


Windows |、. =， 
CE 医书 每 5 分 钟 取 一 次 数据 


连通 率 ， 每 5 分 钟 取 一 次 数据 


连通 率 ， 每 5 分 钟 取 一 次 数据 


连通 率 ， 每 5 分 钟 取 一 次 数据 
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管理 的 内 容 和 范围 


连通 率 ， 每 5 分 钟 取 一 次 数据 


| 连通 率 ， 每 5 分 钟 取 一 次 数据 


COMPAQ 
DL320 


| 连通 率 ， 每 5 分 钟 取 一 次 数据 


Windows 


和 NOYS | 连通 率 ， 每 5 分 钟 取 一 次 数据 


COMPAQ 
DL320 


Windows 


5 连通 率 ， 每 5 分 钟 取 一 次 数据 


COMPAQ 
DL320 
COMPAQ 
DL320 
COMPAQ 
DL320 
COMPAQ 
DL320 
COMPAQ 
DL320 
COMPAQ 
DL320 
COMPAQ 
DL320 
COMPAQ 
DL320 
COMPAQ 
DL320 


Windows | 连通 率 ， 每 5 分 钟 取 一 次 数据 
2K Server 


2K Server 


2K Server 
2K Server 
2K Server 
2K Server 
2K Server 
2K Server 


和 网 络 部 分 一 样 ， 主 机 管理 部 分 也 提供 了 一 个 主机 系统 的 拓扑 图 来 整体 显示 主机 系 
统 的 故障 情况 。 其 中 红色 闪烁 的 节点 表示 机 器 已 经 down 机 或 者 网 络 不 通 等 比较 严重 的 


故障 ， 如 图 6-8 所 示 。 


(3) 对 数据 库 的 可 用 性 监控 ， 能 够 监控 数据 库 引擎 的 关键 参数 ， 例 如 ， 数 据 库 系 统 
设计 的 文件 存储 空间 、 系 统 资源 的 使 用 率 、 配 置 情况 、 数 据 库 当 前 的 各 种 锁 资源 情况 、 
监控 数据 库 进 程 的 状态 、 进 程 所 占 内 存 空 间 等 。 在 参数 到 达 门 限 值 时 通过 网 管 系统 的 事 
件 管理 机 制 发 出 警告 ， 报 告 给 数据 库 管理 员 ， 以 便 及 时 采取 措施 。 
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四 辽宁 电力 网络 安全 素 视 及 管理 平台 - Microsoft Internet Explorer 


文 但 加 ”加 名 日 。 坦 看 W。 收 着 工具。 帮助 
-+ 加 四 村 加 区 

(DO) [本 ppliote0t6t7t700lpowersfserveeindexjp 本 CID 亿 人 NEi 
这 宁 电 力 网 结 安 全 上 旺 视 及 芒 理 系统 | 


系统 首页 【关注 事件 管理 平台 退出 系统 


一 一 


攻 主 轴 及 小 生成 攻 理 目 目 目 目 目 上 上 上 目 目 目 
Mtsl Sun One I Si 


上 9 主机 及 数据 库 答 理 Sybase 数据 库 Sybase 数据 库 计 喝 腿 务 器 Tivoli 问答 mm 服务 器 。 Nt4:2 ti njDne Sun jone 
[21 


上 安全 产品 营 理 | | 
社保 局 服务 器 社保 局 服务 器 应 用 服务 器 Yeblogi< 服 务 器 ”生产 1 。 生产 2 


可 各 事 名 名 留 伸 


PC 认证 系统 。 IFUET ”网 各 从 持 服 务 器 。 。” 防 病 南 备份 系统 由。 FTP 租 务 器 生产 部 SF3 susdj 2 


> 维护 知识 库 
> 系统 设置 
EET EE 名 名 鲜 


测试 机 。 视频 数据 存 绪 。 行 协 计划 部 1 计划 部 2 


留 名 名 鲤鱼 名 鱼 询 | 
[Ey 三 menet 


图 6-8 信息 安全 监视 及 管理 平台 主机 管理 部 分 使 用 情况 


数据 库 文 件 系统 监控 ， 可 以 对 数据 库 设 备 或 其 敏感 文件 所 在 的 文件 系统 进行 监控 。 
监控 的 指标 项 包含 如 下 内 容 。 

@ 表 空 间 使 用 情况 ， 可 以 对 数据 库 中 的 表 空 间 进 行 监控 ， 包 括 该 表 空 间 的 分 配 空 
间 、 已 用 空间 、 表 记录 数 的 情况 。 

@ 事物 日 志 空间 的 使 用 情况 ， 事 物 日 志文 件 是 数据 库 对 每 一 个 数据 库 所 发 生 事务 
的 记录 。 

@ Oracle 硬盘 读 取 次 数 情况 ， 监 视 Oracle 数据 库 IO 读 取 情 况 。 

@ Oracle 锁 的 情况 ， 记 录 Oracle 发 生死 锁 的 情况 并 报警 。 

@ 记录 Oracle 的 Session 的 情况 。 

@ 监视 Oracle 数据 库 参数 。 

@ 监视 Sybase 设备 情况 。 

监视 Sybase 设备 分 配 情 况 。 

@ 监视 Sybase 数据 库 使 用 空间 情况 。 

@ 监视 Sybase 数据 库 处 理 信息 情况 。 

夺 监视 Sybase 数据 库 参 数 。 

早 监视 SQL Server 数据 库 使 用 空间 情况 。 

手 主机 系统 的 监控 。 
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无 数据 库 系统 的 监控 。 

7 入 侵 检测 系统 的 监控 。 

广 防 病毒 系统 的 监控 。 

大 省 公司 防火 墙 系统 的 监控 。 

(4) PKI-CA 系统 的 监控 。 

2004 年 省 公司 针对 系统 存在 的 问题 ， 补 充 增加 一 些 安全 设备 和 系统 ， 同 时 一 些 地 市 
电 业 局 也 提出 了 安全 监视 及 管理 平台 的 需求 ， 因 此 ，2004 年 平台 的 开发 工作 有 两 个 方 
面 ， 一 是 省 公司 安全 监视 平台 的 继续 完善 ， 包 括 功能 继续 完善 和 新 增设 备 的 管理 ， 如 在 
今年 的 项 目 中 ， 省 公司 将 增加 全 省 的 VPN 设备 ; 另 一 方面 的 工作 是 在 沈阳 局 开始 地 市 版 
本 的 试点 工作 。 经 过 这 一 期 项 目 ， 逐 渐 将 地 市 电 业 局 的 系统 也 能 管理 起 来 ， 经 过 2004 
年 的 项 目 ， 初 步 构建 了 省 市 两 级 安全 监视 体系 ， 如 图 6-9 所 示 。 


系统 首页 | 关注 事件 | 管理 平台 | 个 人 设置 过 出 系统 


这 a 


图 6-9 信息 安全 监视 及 管理 平台 市 级 网 管 使 用 情况 


(5) 信息 安全 监视 及 管理 平台 完善 工程 完成 的 主要 工作 如 下 。 
@ 全 省 IDS 系统 的 监视 。 

@ 全 省 防火 墙 系统 的 监视 。 

@ 全 省 VPN 系统 的 监视 。 

@ 沈阳 局 网 络 系统 的 监视 。 

@ 沈阳 局 主机 系统 的 监视 。 

@ 沈阳 局 数据 库 系统 的 监视 。 
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6.4.5 项 目 实施 取得 的 主要 成 果 


(1) 统一 项 目 规划 与 建设 。 通 过 2003 年 、2004 年 项 目的 实施 ， 对 安全 监视 及 管理 
平台 项 目的 定位 也 逐渐 清晰 起 来 ， 该 平台 应 该 是 电力 信息 网 络 安全 的 监视 中 心 、 安 全 信 
息 的 发 布 中 心 和 安全 事件 的 处 理 平台 。 

此 安全 监视 平台 对 于 电力 信息 网 络 的 安全 是 十 分 重要 的 ， 是 信息 安全 示范 工程 中 不 
可 或 缺 的 一 个 重要 组 成 部 分 。 因 此 ， 安 全 监视 平台 有 必要 在 全 省 电力 信息 网 络 中 部 署 ， 
逐渐 组 成 电力 信息 安全 的 二 级 监视 管理 体系 。 

2005 年 在 进一步 完善 省 公司 平台 功能 的 同时 ， 要 逐渐 建立 地 市 安全 监视 系统 与 省 公 
司 安全 监视 及 管理 平台 之 间 的 关系 。 通 过 这 一 工作 ， 电 力 公司 将 逐渐 完善 省 公司 与 市 公 
司 的 两 级 监控 体系 。2005 年 的 主要 工作 是 将 地 市 的 安全 监视 平台 部 署 完成 。 

项 目 最 终 完 成 以 后 ， 将 构建 一 个 覆盖 全 省 电力 信息 网 络 的 安全 监视 及 管理 平台 。 平 
台 共 分 为 两 级 结构 ， 在 省 公司 信息 中 心 部 署 的 安全 监视 管理 平台 ， 监 视 全 省 骨干 网 络 设 
备 、 安 全 设备 的 运行 状况 ;地 市 安全 监视 平台 将 监控 管理 范围 内 的 网 络 设备 、 主 机 系统 
和 安全 设备 的 运行 状况 。 在 两 级 安全 监视 平台 之 间 存 在 联系 机 制 ， 即 在 各 个 地 市 电力 信 
息 网 络 发 生 重大 安全 事件 的 时 候 ， 将 自动 上 报 省 公司 的 安全 监视 及 管理 平台 。 

(2) 应 用 效益 分 析 。 在 辽宁 电力 信息 网 络 系统 中 配置 了 大 量 的 安全 产品 ， 每 种 安全 
产品 都 有 各 自 的 管理 系统 ， 各 类 安全 信息 分 散在 这 些 系统 中 。 如 果 要 了 解 整个 网 络 系统 
的 安全 状况 ， 必 须 进入 所 有 的 系统 。 使 用 该 平台 ， 就 可 以 了 解 网 络 系统 中 主机 、 网 络 设 
备 、 安 全 产品 及 应 用 系统 的 运行 状况 ， 对 整个 网 络 的 安全 状况 作出 评估 ， 极 大 地 提高 了 
辽宁 电力 系统 信息 安全 的 管理 效率 和 维护 水 平 ， 为 辽宁 电力 信息 网 络 的 安全 、 稳 定 运行 
提供 了 保障 。 

信息 安全 监管 平台 的 使 用 ， 降 低 了 信息 安全 的 风险 ， 避 免 了 由 于 信息 安全 事故 给 企 
业 造 成 的 损失 。 

本 平台 经 过 几 年 的 开发 和 应 用 实践 已 经 十 分 稳定 ， 在 进行 推广 的 过 程 中 ， 不 需要 进 
行 大 量 的 现场 开发 工作 。 只 需要 根据 用 户 的 情况 进行 一 些 安装 配置 等 工作 。 

为 了 减少 在 现场 的 工作 量 ， 我 们 已 经 准备 了 一 套 系统 安装 和 配置 的 标准 化 文档 ， 包 
括 用 户 现场 的 情况 调研 、 需 求 确认 、 系 统 安装 、 系 统 配 置 、 系 统 定制 等 ， 为 了 保证 该 平 
台 的 使 用 ， 另 外 还 安排 了 用 户 的 培训 。 

现 有 规程 及 标准 制定 情况 如 下 。 

为 了 使 本 平台 和 相关 技术 能 够 推广 好 、 应 用 好 、 编 制 如 下 文档 。 

Q 辽宁 电力 信息 安全 监管 平台 设计 方案 。 

@ 辽宁 电力 信息 安全 监管 平台 安全 管理 系统 接 入 规范 。 

@ 辽宁 电力 信息 安全 监管 平台 安装 配置 手册 。 

@ 辽宁 电力 信息 安全 监管 平台 使 用 维护 手册 。 

这 些 规范 及 手册 基本 能 够 满足 电力 信息 安全 监管 平台 的 推广 、 运 行 和 维护 管理 。 

信息 安全 监管 平台 的 功能 是 对 各 种 系统 以 及 安全 产品 进行 监控 ， 因 此 ， 各 种 设备 以 
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及 系统 需要 符合 一 定 的 标准 ， 具 体 如 下 。 

a. 网 络 设备 。 系 统 通过 SNMP 协议 获得 被 监控 网 络 设备 的 有 关 人 信息， 包括 系统 信 
息 、 接 口 状 态 、 端 口 接口 映射 、IP 地 址 转发 表 、 路 由 表 、MAC 地 址 转发 表 、CPU 负荷 、 
接口 带宽 动态 和 接口 历史 流量 数据 等 ， 并 通过 SNMP 协议 控制 网 络 设备 接口 的 开 闭 。 

网 络 设备 须 启动 SNMP 服务 。 路 由 设备 须 支持 MIB II (RFC 1213)， 交 换 设备 须 支 
持 MIB I (RFC 1213) 和 Bridge MIB (RFC 1493 )。 

b. 主机 系统 。 系 统 通过 主机 操作 系统 的 SNMP 服务 获得 被 监控 主机 的 有 关 信息 ， 
包括 系统 信息 、 网 络 连接 、TCP 连接 、 程 序 运行 、 软 件 安装 、CPU 负荷 、 存 储 设备 、 系 
统 配置 、Windows 网 络 服务 、Windows 用 户 账号 等 信息 。 

获得 所 有 上 述 信息 主机 SNMP 服务 须 支持 MIB II(RFC 1213) 和 Host Resources MIB 
(RFC 1514)。 如 果 只 支持 MIB I 而 不 支持 Host Resources MIB 则 只 能 获得 系统 信息 、 网 
络 连接 和 TCP 连接 信息 。 

c. 防火 墙 系统 。 电 力 信息 网 络 中 的 防火 墙 系统 必须 支持 网 络 设备 的 snmp mib，MIB 
I (CRFC 1213)， 并 且 启 动 SNMP 服务 。 并 且 提 供 防 火 墙 日 志 接口 。 

d. 入 侵 监 测 系统 。 电 力 信息 网 络 中 的 入 侵 监 测 系统 必须 支持 网 络 设备 的 snmp mib， 
MIB II (RFC 1213)， 并 且 启 动 SNMP 服务 。 并 且 提 供 入 侵 监测 日 志 接 口 。 

e. 漏洞 扫描 系统 。 提 供 漏 洞 扫描 系统 日 志 接口 。 

f. 其 他 系统 。 提 供 相关 日 志 接 口 形式 ， 以 便 获 得 其 系统 相关 的 日 志 信息 、 运 行 信息 
和 业务 信息 等 。 

(3) 结论 和 仍 需 完善 的 建议 措施 。 首 先 ， 本 平台 解决 了 一 直 以 来 网 管 工作 被 动 的 局 
面 ， 整 个 网 络 的 运行 监测 和 管理 正在 逐渐 贯彻 完善 的 预警 策略 ， 还 可 随时 随地 通过 Web 
浏览 查看 网 络 运行 状况 。 

其 次 ， 通 过 本 平台 可 密切 监测 电力 生产 等 应 用 系统 的 运行 情况 ， 确 保 这 些 关键 应 用 
系统 的 高 效 、 稳 定 运 行 。 

再 次 ， 本 平台 提供 的 报告 分 析 功 能 和 灵活 多 样 的 图 表 报告 功能 ， 非 常 方便 生成 实时 
的 和 历史 的 报告 ， 为 网 络 管理 和 规划 提供 可 靠 的 理论 数据 和 依据 。 

信息 安全 监管 平台 在 辽宁 省 电力 有 限 公司 和 沈阳 市 供电 公司 的 应 用 ， 证 明了 系统 在 
架构 设计 、 技 术 实现 的 先进 性 、 可 靠 性 和 稳定 性 ， 满 足 了 电力 系统 信息 安全 的 需求 。 

(4) 本 平台 的 技术 价值 如 下 。 

@ 平台 是 网 络 型 的 信息 安全 防护 系统 ， 可 以 构成 多 级 安全 防护 体系 。 

@ 在 电力 信息 网 络 中 首次 实现 了 全 面 集中 的 安全 监控 管理 。 

@ 平台 采用 了 基于 DW (数据 仓库 技术 ) 的 数据 分 析 方 法 。 

@ 项 目 实施 过 程 中 克服 了 多 种 异 构 系统 的 数据 交换 的 难题 。 

@ 监视 平台 采用 了 目前 比较 先进 的 技术 ， 适 应 性 、 可 开展 性 和 开放 性 较 强 。 

@ 安全 监视 及 综合 管理 平台 管理 的 范围 涵盖 电力 信息 网 络 中 的 方方面面 ， 在 国内 
首先 实现 了 电力 信息 网 络 安全 的 全 面 监 视 管理 。 目 前 监视 及 管理 的 范围 包括 网 络 设备 、 
防火 墙 设备 、VPN 设备 、 入 侵 监测 设备 、 防 病毒 系统 、 主 机 系统 、 数 据 库 系统 、 中 间 件 
系统 与 应 用 系统 等 。 


160 网 络 信息 安全 工程 原理 与 应 用 


(5) 为 了 更 好 地 推动 本 平台 在 电力 信息 网 络 中 的 推广 使 用 ， 尽 早 对 入 网 安全 设备 采 
用 规范 的 准 入 制度 ， 不 断 扩大 本 项 目的 管理 范围 与 管理 深度 ， 推 进 电 力 信息 网 络 安全 管 
理 的 进程 。 

考虑 到 平台 建设 的 稳定 性 需求 ， 以 及 未 来 长 期 的 可 扩展 性 要 求 。 平 台 将 主要 构建 在 
UNIX 系统 上 ， 数 据 存储 在 Oracle 数据 库 中 ， 将 采用 DW (Data Warehouse) 实现 Olap 
(Online Analytical Processing, 联机 分 析 处 理 ) 和 Web 发 布 。 系 统 设 计 主要 依据 以 下 原则 。 

Q@ 系统 按照 开放 性 的 原则 设计 。 

@ 按照 PEE 架构 设计 实现 。 

@ 支持 以 XML 为 基础 的 信息 定义 、 交 换 和 查询 。 

@ 系统 采用 三 层 结构 ， 中 间 件 采用 BEA Weblogic 产品 。 

@ 数据 存储 在 Oracle 数据 库 中 。 

@) 编程 语言 选择 Java。 

@ 系统 采用 严格 的 权限 管理 策略 ， 并 采用 PKI-CA 认证 中 心 进行 身份 认证 。 

(6) 平台 采用 了 基于 DW 〈 数 据 仓库 技术 ) 的 数据 分 析 方法 ， 为 了 能 对 从 各 种 系统 
上 采集 来 的 安全 数据 进行 集中 分 析 ， 我 们 采用 了 先进 的 数据 仓库 技术 。 主 要 基于 以 下 
原因 。 

Q@ 采集 的 数据 量 比较 大 。 

@ 需要 对 各 种 数据 进行 关联 分 析 。 

@ 通过 集中 的 数据 分 析 ， 平 台 可 以 产生 定期 的 报表 和 趋势 图 ， 对 企业 信息 安全 管 
理 起 到 辅助 决策 的 作用 。 

@ 平台 在 实施 过 程 中 克服 了 异 构 系统 数据 采集 的 巨大 难度 。 由 于 平台 采集 数据 的 
来 源 十 分 广泛 ， 给 系统 实施 带 来 了 十 分 大 的 难度 。 目 前 ， 安 全 产品 和 应 用 系统 没有 提供 
统一 的 和 监视 平台 的 数据 接口 ， 因 此 为 了 收集 安全 产品 和 应 用 系统 的 安全 信息 数据 ， 需 
要 双方 讨论 并 确认 切实 可 行 的 数据 接口 形式 。 这 样 一 来 对 于 每 个 厂家 的 产品 ， 可 能 要 采 
用 不 同 的 数据 接口 。 但 是 ， 对 于 一 些 没有 提供 数据 接口 的 系统 ， 只 有 在 不 断 摸索 分 析 其 
系统 数据 格式 。 如 防 病毒 系统 (Symantec)， 厂 家 并 不 提供 数据 接口 ， 技 术 人 员 只 有 尝试 
分 析 其 数据 文件 格式 。 
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本 章 论述 网 络 信息 安全 防护 〈 包 括 主动 防护 和 被 动 防护 ) 技术 原理 及 经 典 安全 防护 
工具 原理 及 主要 功能 等 基本 概念 ， 痔 述 网 络 信息 安全 防护 体系 的 设计 原则 及 防护 策略 ， 
介绍 辽宁 电力 系统 网 络 信息 安全 防护 体系 建设 与 实际 应 用 案例 。 


7.1 网 络 信息 安全 防护 技术 原理 


本 节 主 要 介绍 网 络 信息 安全 防护 技术 原理 等 基本 概念 包括 主动 防护 和 被 动 防护 。 主 
动 防护 技术 一 般 有 数据 加 密 、 安 全 扫描 、 网 络 管理 、 网 络 流量 分 析 和 虚拟 网 络 技术 。 被 
动 防护 技术 目前 有 防火 墙 技术 、 防 病毒 技术 、 入 侵 检测 技术 、 路 由 过 滤 、 审 计 与 监测 等 。 


7.1.1 主动 防护 技术 


主动 防护 技术 一 般 有 数据 加 密 、 安 全 扫描 、 网 络 管理 、 网 络 流量 分 析 和 虚拟 网 络 等 
技术 。 


1. 隐患 扫描 技术 


网 络 安全 性 隐患 扫描 也 称 为 网 络 安 全 性 漏洞 扫描 ， 它 是 进行 网 络 安全 性 风险 评估 
(vulnerability assessment) 的 一 项 重要 技术 , 也 是 网 络 安 全 防护 技术 中 的 一 项 关键 性 的 技 
术 。 其 原理 是 采用 模拟 黑客 攻击 的 形式 对 目标 可 能 存在 的 已 知 安全 漏洞 和 弱点 进行 逐 项 
扫描 和 检查 。 目 标 可 以 是 工作 站 、 服 务 器 、 交 换 机 、 数 据 库 应 用 等 各 种 对 象 。 根 据 扫描 
结果 向 系统 管理 员 提 供 周密 可 靠 的 安全 性 分 析 报 告 ， 为 提高 网 络 安 全 整体 水 平 提供 重要 
依据 。 

系统 的 安全 弱点 就 是 它 安 全 防护 最 弱 的 部 分 ， 容 易 被 入 侵 者 利用 ， 给 网 络 带 来 灾 
难 。 找 到 弱点 并 加 以 保护 是 保护 网 络 安全 的 重要 使 命 之 一 。 由 于 管理 员 需 要 面 对 大 量 的 
主机 、 网 络 、 用 户 、 设 备 、 审 计 文 件 以 及 潜在 的 大 量 入 侵 行为 和 手段 ， 安 全 性 弱点 和 漏 
洞 的 发 现 和 保护 仅仅 依靠 人 力 是 不 能 解决 的 。 因 此 ， 必 须 提 供 一 种 高 效 的 网 络 安全 性 隐 
患 扫描 的 工具 ， 通 过 它 能 自动 发 现 网 络 系统 的 弱点 ， 以 便 管理 员 能 够 迅速 有 效 地 采取 相 
应 的 措施 。 

安全 扫描 器 通过 对 网 络 的 扫描 ， 可 以 了 解 网 络 的 安全 配置 和 运行 的 应 用 服务 ， 及 时 
发 现 安全 漏洞 ， 客 观 评估 网 络 风险 等 级 。 可 以 根据 扫描 的 结果 更 正 网 络 安 全 漏洞 和 系统 
中 的 错误 配置 ， 在 黑客 攻击 前 进行 防范 。 安 全 扫描 就 是 一 种 主动 的 防范 措施 ， 可 以 有 效 
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避免 黑客 攻击 行为 ， 做 到 防 患 于 未 然 。 
2. 网 络 管理 技术 


网 络 管理 系统 具有 对 整个 管理 系统 的 趋势 进行 跟踪 并 相应 采取 措施 的 能 力 ， 快 速 部 
署 应 用 程序 和 管理 工具 ， 通 过 提供 集成 化 视图 来 管理 支持 业务 程序 的 IT 系统 ， 并 视 业 
务 政 策 和 目标 的 变化 进行 动态 调整 ， 能 够 根据 其 监视 或 检测 到 的 情况 实施 管理 活动 。 


3. 网 络 流量 分 析 技 术 
网 络 流量 分 析 系统 提供 了 用 户 上 网 行为 分 析 、 异 常 流量 实时 监测 、 历 史 流量 分 析 报 


表 到 流量 趋势 预警 等 功能 ， 涵 盖 了 网 络 流 量 分 析 的 所 有 细节 ， 可 以 通过 日 报 、 周 报 、 月 
报 的 标准 报表 、 对 照 报表 和 趋势 分 析 报 表 等 多 种 格式 报告 流量 分 析 结 果 。 


4. 带宽 管理 技术 


带宽 管理 系统 可 以 使 广域网 或 互联 网 上 运行 的 应 用 程序 提高 运行 效率 。 带 宽 管理 系 
统 可 以 控制 网 络 表现 , 使 之 与 应 用 程序 的 特点 、 业 务 运作 的 要 求 以 及 用 户 的 需求 相 适 应 ， 
然后 提供 验证 结果 。 


5. VLAN 与 VPN 技术 


VLAN (虚拟 网 ) 把 网 络 上 的 用 户 〈 终 端 设备 ) 划分 为 若干 个 逻辑 工作 组 ， 每 个 逻 
辑 工作 组 就 是 一 个 VLAN。 可 以 灵活 地 划分 VLAN， 增 加 或 删除 VLAN 成 员 。 当 终端 
设备 移动 时 ， 无 须 修改 它 的 卫 地 址 。 在 更 改 用 户 所 加 入 的 VLAN 时 ， 也 不 必 重 新 改变 
设备 的 物理 连接 。 

VPN 〈 虚 拟 专用 网 ) 采用 加 密 和 认证 技术 ， 利 用 公共 通信 网 络 设施 的 一 部 分 来 发 送 
专用 信息 ， 为 相互 通信 的 节点 建立 起 一 个 相对 封闭 的 、 逻 辑 的 专用 网 络 ， 通 过 物理 网 络 
的 划分 ， 控 制 网 络 流量 的 流向 ， 使 其 不 要 流向 非法 用 户 ， 以 达到 防范 目的 。 


6. 数据 加 密 技术 


密码 技术 是 保护 信息 安全 的 主要 手段 之 一 ， 不 仅 具 有 信息 加 密 功 能 ， 而 且 具 有 数字 
签名 、 身 份 验证 、 秘 密 分 存 、 系 统 安全 等 功能 。 所 以 ， 使 用 密码 技术 不 仅 可 以 保证 信息 
的 机 密 性 ， 而 且 可 以 保证 信息 的 完整 性 和 确证 性 ， 防 止 信息 被 自 改 、 伪 造 或 假冒 。 


7.1.2 ”被 动 防护 技术 


被 动 防护 技术 目前 有 防火 墙 技 术 、 防 病毒 技术 、 入 侵 检测 技术 、 路 由 过 滤 技 术 、 审 
计 与 监测 等 技术 。 
1， 防 火 墙 技术 


我 国 公共 安全 行业 标准 中 对 防火 墙 的 定义 为 :“ 设 置 在 两 个 或 多 个 网 络 之 间 的 安全 
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阻隔 ， 用 于 保证 本 地 网 络 资源 的 安全 ， 通 常 是 包含 软件 部 分 和 硬件 部 分 的 一 个 系统 或 多 
个 系统 的 组 合 ” 其 基本 工作 原理 是 在 可 信任 网 络 的 边界 ( 即 常 说 的 在 内 部 网 络 和 外 部 网 
络 之 间 , 通常 认为 内 部 网 络 是 可 信任 的 ， 而 外 部 网 络 是 不 可 信 的 ) 建立 起 网 络 控制 系统 ， 
隔离 内 部 和 外 部 网 络 ， 执 行 访问 控制 策略 ， 防 止 外 部 的 未 授权 节点 访问 内 部 网 络 和 非法 
向 外 传递 内 部 信息 ， 同 时 也 防止 非法 和 恶意 的 网 络 行为 导致 内 部 网 络 的 运行 被 破坏 。 
从 逻辑 上 讲 ， 防 火 墙 是 分 离 器 、 限 制 器 和 分 析 器 ;从 物理 角度 看 ， 各 个 防火 墙 的 物 
理 实现 方式 形式 多 样 ， 通 常 是 一 组 硬件 设备 《〈 路 由 器 、 主 机 等 》 和 软件 的 多 种 组 合 。 


2. 防 病毒 技术 


在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 第 二 十 八条 中 将 计算 机 病毒 定 
义 为 : “ 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ， 影 响 计算 机 使 用 
并 且 能 够 自我 拷贝 的 一 组 计算 机 指令 或 者 程序 代码 。” 

防 病毒 技术 就 是 系统 管理 及 下 发 防 病毒 服务 器 组 内 的 防 病毒 服务 器 及 各 个 客户 端 
的 防 病毒 策略 ， 通 过 设 定 防 病毒 升级 服务 器 进行 防 病毒 组 内 的 服务 器 端 及 客户 端的 病毒 
代码 更 新 ， 通 过 搜索 来 确定 网 络 内 的 防 病毒 服务 器 组 ， 搜 集 防 病毒 服务 器 的 运行 日 志 。 


3. 人 入侵 检测 技术 


入 侵 检测 〈intrusion detection)， 顾 名 思 义 ， 是 对 入 侵 行为 的 发 觉 。 现 在 对 入 侵 的 定 
义 已 大 大 扩展 ， 不 仅 包 括 被 发 起 攻击 的 人 《如 恶意 的 黑客 ) 取得 超出 合法 范围 的 系统 控 
制 权 ， 也 包括 收集 漏洞 信息 ， 造 成 拒绝 服务 (DoS) 等 对 计算 机 系统 造成 危害 的 行为 。 
入 侵 检 测 技术 是 通过 从 计算 机 网 络 和 系统 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 ， 从 中 
发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 或 遭 到 入 侵 的 迹象 ， 并 依据 既定 的 策略 采 
取 一 定 的 措施 的 技术 。 也 就 是 说 ， 入 侵 检测 技术 包括 3 个 部 分 内 容 : 信息 收集 、 信 息 分 
析 和 响应 。 

(1) 入 侵 检测 系统 能 使 系统 对 入 侵 事件 和 过 程 作 出 实时 响应 。 如 果 一 个 入 侵 行为 能 
被 足够 迅速 地 检测 出 来 ， 就 可 以 在 任何 破坏 或 数据 泄密 发 生 之 前 将 入 侵 者 识别 出 来 并 驱 
逐 出 去 。 即 使 检测 的 速度 不 够 快 ， 入 侵 行为 越 早 被 检测 出 来 ， 入 侵 造 成 的 破坏 程度 就 会 
越 少 ， 而 且 能 越 快 地 恢复 工作 。 

(2) 入 侵 检 测 是 防火 墙 的 合理 补充 。 入 侵 检测 能 够 收集 有 关 入 侵 技术 的 信息 ， 这 些 
信息 可 以 用 来 加 强 防御 措施 。 

(3) 入 侵 检测 是 系统 动态 安全 的 核心 技术 之 一 。 鉴 于 静态 安全 防御 不 能 提供 足够 的 
安全 ， 系 统 必 须根 据 发 现 的 情况 实时 调整 ， 在 动态 中 保持 安全 状态 ， 这 就 是 常 说 的 系统 
动态 安全 ， 其 中 检测 是 静态 防护 转化 为 动态 的 关键 ,是 动态 响应 的 依据 ， 是 落实 或 强制 
执行 安全 策略 的 有 力 工具 ， 因 此 入 侵 检测 是 系统 动态 安全 的 核心 技术 之 一 。 

从 技术 上 ， 入 侵 检 测 分 为 两 类 : 一 种 基于 标志 〈signature-based)， 另 一 种 基于 异常 
情况 (anomaly-based)。 

对 于 基于 标志 的 检测 技术 来 说 ， 首 先 要 定义 违背 安全 策略 的 事件 的 特征 ， 如 网 络 数 
据 包 的 某 些 头 信息 。 检 测 主 要 判别 这 类 特征 是 否 在 所 收集 到 的 数据 中 出 现 。 而 基于 异常 
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的 检测 技术 则 是 先 定义 一 组 系统 “正常 ”情况 的 数值 ， 如 CPU 利用 率 、 内 存 利用 率 、 文 
件 校 验 等 ， 然 后 将 系统 运行 时 的 数值 与 所 定义 的 “正常 ”情况 相 比 较 ， 得 出 是 否 有 被 攻 
击 的 迹象 。 

两 种 检测 技术 的 方法 所 得 出 的 结论 有 非常 大 的 差异 。 基 于 标志 的 检测 技术 的 核心 是 
维护 一 个 知识 库 。 对 于 已 知 的 攻击 ， 它 可 以 详细 、 准 确 地 报告 出 攻击 类 型 ， 但 是 对 未 知 
攻击 却 效果 有 限 ， 而 且 知识 库 必 须 不 断 更 新 。 基 于 异常 的 检测 技术 则 无 法 准确 判别 出 攻 
击 的 手法 ， 但 它 可 以 判别 更 广泛 ， 甚 至 未 发 觉 的 攻击 。 


4. 路 由 过 滤 技 术 


当 两 台 连 在 不 同 子 网 上 的 计算 机 需要 通信 时 ， 必 须 经 过 路 由 器 转发 ， 由 路 由 器 把 信 
息 分 组 通过 互联 网 沿 着 一 条 路 径 从 源 端 传送 到 目的 端 。 路 由 器 中 的 过 滤器 对 所 接收 的 每 
一 个 数据 包 根据 包 过 滤 规 则 做 出 允许 或 拒绝 的 决定 。 由 于 路 由 器 作用 在 网 络 层 ， 具 有 更 
强 的 异种 网 互联 能 力 、 更 好 的 隔离 能 力 、 更 强 的 流量 控制 能 力 、 更 好 的 安全 性 和 可 管理 
维护 性 。 


S. 审计 与 监测 技术 


计算 机 安全 保密 防范 的 第 3 道 防线 是 审计 跟踪 技术 ， 在 系统 中 保留 一 个 日 志文 件 ， 
与 安全 相关 的 事件 可 以 记录 在 日 志文 件 中 , 审计 跟踪 是 一 种 事后 追查 手段 ， 它 对 涉及 计 
算 机 系统 安全 保密 的 操作 进行 完整 的 记录 ， 以 便 事 后 能 有 效 地 追查 事件 发 生 的 用 户 、 时 
间 、 地 点 和 过 程 ， 发 现 系统 安全 的 弱点 和 入 侵 点 。 


7.2 网络 信息 安全 防护 体系 的 设计 原则 


企业 的 性 质 决 定 了 企业 是 电力 生产 、 经 营 和 管理 型 企业 ， 信 息 交 换 频繁 ， 要 求 安全 
可 靠 、 方 便 快捷 、 实 时 性 强 。 网 络 信息 安全 防御 体系 的 设计 应 遵循 以 下 原则 。 

(1) 网 络 环境 综合 治理 原则 : 信息 网 络 系统 配备 齐全 、 职 责 分 工科 学 ， 网 络 系统 管 
理 软件 功能 完备 ， 管 理 、 控 制 策略 合理 灵活 ， 具 有 较 强 的 网 络 支 撑 能 力 。 

(2) 网 络 结构 优化 先行 原则 : 信息 网 络 包括 局 域 网 、 城 域 网 、 广 域 网 协调 配置 ， 办 
公 自 动 化 内 部 信息 网 络 、 外 部 信息 网 络 、DMZ 非 军事 区 、Intemet 网 络 分 工 明确 ， 网 络 
结构 合理 。 

(3) 网 络 及 信息 安全 防护 网 络 化 原则 : 根据 电网 公司 是 网 络 化 的 特点 ， 建 立 网 络 化 
2 一 3 级 信息 安全 监视 与 管理 系统 ， 包 括 : 性 能 监视 与 管理 (网 络 管理 、 网 络 流量 分 析 、 
带宽 管理 软件 等 )、 安 全 防护 与 管理 (防火 墙 系统 、 防 病毒 系统 、VPN 系统 、VLAN 系 
统 等 )、 安 全 检测 与 管理 (漏洞 扫描 系统 、 入 侵 检测 等 )。 

(4) 集中 管理 与 分 级 控制 原则 : 根据 信息 网 络 系统 的 规模 和 企业 管理 体制 的 实际 情 
况 ， 确 定 信息 网 络 及 应 用 系统 的 安全 直接 管辖 以 及 管理 范围 ， 例 如 ， 省 公司 信息 中 心 负 
责 安全 直接 管辖 并 运行 维护 的 本 级 局 域 网 或 主干 网 络 系统 及 其 所 属 设备 ， 负 责 安全 管理 
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的 本 级 与 下 一 级 连接 的 边界 路 由 器 和 防火 墙 以 及 需要 直接 管辖 的 系统 。 
(5) 根据 企业 性 质 和 任务 ， 建 立 的 信息 安全 总 体 框架 及 管理 体系 、 技 术 体 系 ， 应 遵 
循 统一 领导 、 统 一 规划 、 统 一 标准 、 分 级 组 织 实施 原则 。 


7.3 经 典 安全 防护 工具 原理 及 主要 功能 


本 节 介 绍 的 经 典 安 全 防护 工具 包括 网 络 管理 、 防 火 墙 、 防 病毒 、 入 侵 检测 、 漏 洞 扫 
描 、 网 络 流量 分 析 等 系统 的 工作 原理 及 主要 功能 。 


7.3.1 网 络 管理 系统 


网 络 管理 系统 具有 对 整个 管理 系统 的 趋势 进行 跟踪 并 相应 采取 措施 的 能 力 ， 快 速 部 
署 应 用 程序 和 管理 工具 ， 提 供 了 系统 管理 、 安 全 管理 、 存 储 管理 和 行政 管理 ， 通 过 提供 
集成 化 视图 来 管理 支持 业务 程序 的 IT 系统 ， 系 统 自我 管理 ， 并 视 业 务 政策 和 目标 的 变 
化 进行 动态 调整 ， 以 适应 变化 的 能 力 。 自 我 管理 系统 能 够 根据 其 监视 或 检测 到 的 情况 实 
施 管理 活动 ， 系 统 会 对 自身 情况 实施 监控 ， 并 执行 相应 的 管理 活动 。 

网 络 管理 系统 管理 并 监控 办 公 自 动 化 、 浏 览 器 服务 器 等 功能 模块 自动 监控 系统 资 
源 ;， 网 络 资源 管理 ， 网 络 故障 分 析 与 报告 ， 对 企业 内 软 硬 件 资源 进行 跟踪 管理 ， 提 供 软 
件 分 发 功能 ， 对 企业 内 IT 资源 进行 分 配 管理 ， 提 高 IT 部 门 远程 管理 系统 资源 能 力 。 


7.3.2 防火墙 系统 


1. 防火 墙 的 分 类 


根据 在 OSI 参考 模型 中 位 置 的 不 同 ， 网 络 防火 墙 具 有 不 同 的 类 别 ， 其 中 最 常见 的 
是 工作 在 网 络 层 的 路 由 器 级 防火 墙 和 工作 在 应 用 层 的 网 关 级 防火 墙 。 网 络 层 的 路 由 器 级 
防火 墙 一 般 采 用 过 滤 技 术 完 成 访问 控制 , 也 称 包 过 滤 防 火 墙 或 他 防火 墙 ; 应 用 层 的 网 关 
级 防火 墙 一 般 采 用 代理 技术 完成 访问 控制 ， 也 称 应 用 代理 防火 墙 。 

通常 安全 性 能 和 处 理 速度 是 防火 墙 设计 实现 的 重点 , 也 是 最 难处 理 的 一 对 矛盾 。 因 
此 防火 墙 研制 的 两 个 侧重 点 : 一 是 将 防火 墙 建立 在 通用 的 安全 操作 系统 和 通用 的 计算 机 
硬件 平台 上 ， 利 用 已 有 平台 提供 的 丰富 功能 ， 使 防火 墙 具 备 尽 可 能 多 的 安全 服务 ， 二 是 
以 高 速度 为 设计 实现 目标 ， 利 用 快速 处 理 器 、ASIC 和 实时 高 效 的 操作 系统 实现 防火 墙 ， 
根据 有 关 的 测速 报告 ， 这 类 防火 墙 的 实际 吞吐 率 可 以 接近 线 速 。 

防火 墙 有 助 于 提高 网 络 系统 的 总 体 安全 性 。 防 火 墙 的 基本 思想 不 是 对 每 台 主 机 系统 
进行 保护 ， 而 是 让 所 有 对 系统 的 访问 通过 某 一 点 ， 并 且 保 护 这 一 点 ， 并 尽 可 能 地 对 外 界 
屏蔽 被 保护 网 络 的 信息 和 结构 。 也 就 是 说 ， 防 火 墙 定义 了 单个 阻塞 点 ， 将 安全 能 力 统一 
在 单个 系统 或 系统 集合 中 ， 在 简化 了 安全 管理 的 同时 可 强化 安全 策略 。 
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2. 防火 墙 的 主要 功能 


(1) 实施 网 间 访 问 控制 ， 强 化 安全 策略 。 能 够 按照 一 定 的 安全 策略 ， 对 两 个 或 多 个 
网 络 之 间 的 数据 包 和 链接 方式 进行 检查 ， 并 按照 策略 规则 决定 对 网 络 之 间 的 通信 采取 何 
种 动作 ， 如 通过 、 丢 弃 、 转 发 等 。 

(2) 有 效 地 记录 因特网 上 的 活动 。 因 为 所 有 进出 内 部 网 络 的 信息 都 必须 通过 防火 墙 ， 
所 以 防火 墙 非常 适合 收集 各 种 网 络 信息 。 这 样 一 方面 提供 了 监视 与 安全 有 关 的 事件 的 场 
所 ， 如 可 以 在 防火 墙 上 实现 审计 和 报警 等 功能 ， 另 外 还 可 以 很 方便 地 实现 一 些 与 安全 无 
关 的 网 络 管理 功能 ， 如 记录 因特网 使 用 日 志和 流量 管理 等 。 

(3) 隔离 网 段 ， 限 制 安全 问题 扩散 。 防 火 墙 能 够 隔 开 网 络 中 的 某 个 网 段 ， 这 样 既 可 
以 防止 外 部 网 络 的 一 些 不 良 行为 影响 内 部 网 络 的 正常 工作 ， 又 可 以 阻止 内 部 网 络 的 安全 
灾难 蔓延 到 外 部 网 络 中 。 

(4) 防火 墙 本 身 应 不 受 攻击 的 影响 ， 也 就 是 说 ， 防 火 墙 自身 有 一 定 的 抗 攻击 能 力 。 
由 于 防火 墙 是 实施 安全 策略 的 检查 站 ， 一 旦 防火 墙 失效 ， 则 内 外 网 间 依 靠 防火 墙 提供 的 
安全 性 和 连通 性 都 会 受到 影响 ， 因 此 防火 墙 系统 应 该 是 一 个 具有 安全 操作 系统 特性 的 可 
信任 系统 ， 自 身 能 够 抵抗 各 种 攻击 。 

(5) 综合 运用 各 种 安全 措施 , 使 用 先进 健壮 的 信息 安全 技术 。 如 采用 现代 密码 技术 、 
一 次 性 口令 系统 、 反 欺骗 技术 等 ， 一 方面 可 增强 防火 墙 系统 自身 的 抗 攻击 能 力 ， 另 外 还 
提高 了 防火 墙 系统 实施 安全 策略 的 检查 能 力 。 

(6) 人 机 界面 良好 ， 用 户 配 置 方便 ， 易 管理 。 防 火 墙 不 是 解决 所 有 安全 问题 的 万 能 
药方 ， 它 只 是 网 络 安全 政策 和 策略 中 的 一 个 组 成 部 分 。 


7.3.3 ” 防 病毒 系统 


1. 计算 机 病毒 的 结构 特点 和 工作 原理 


计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ， 影 响 计 
算 机 使 用 并 且 能 够 自我 拷贝 的 一 组 计算 机 指令 或 者 程序 代码 。 要 认 清 计算 机 病毒 的 结构 
特点 和 行为 机 理 ， 为 防范 计算 机 病毒 提供 充实 可 靠 的 依据 。 通 过 对 计算 机 病毒 的 主要 特 
征 、 破 坏 行 为 以 及 基本 结构 的 分 析 来 阐述 计算 机 病毒 的 工作 原理 。 

(1) 可 控 性 

计算 病毒 与 各 种 应 用 程序 一 样 也 是 人 为 编写 出 来 的 。 它 并 不 是 偶然 自发 产生 的 。 在 
某 些 方面 , 它 具 有 一 定 的 主观 能 动 性 , 即 是 可 事先 预防 的 。 当 程 员 编写 出 这 些 有 意 破 坏 、 
严谨 精巧 的 程序 段 时 ， 它 们 就 具有 严格 组 织 的 程序 代码 ， 与 其 所 在 环境 相互 适应 并 紧密 
配合 ， 伺 机 达到 它们 的 破坏 目的 。 因此， 这 里 所 指 的 可 控 性 并 不 是 针对 其 散播 速度 和 范 
围 的 ， 而 是 对 其 产生 根源 的 控制 ， 也 就 是 说 是 对 人 的 控制 。 

(2) 自我 拷贝 能 

自我 拷贝 也 称 “再 生 ” 或 “传染 ”。 再 生机 制 是 判断 是 不 是 计算 机 病毒 的 最 重要 依 
据 。 在 一 定 条 件 下 ， 病 毒 通过 某 种 渠道 从 一 个 文件 和 一 台 计 算 机 传染 到 另外 没有 被 感染 
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的 文件 和 计算 机 ， 轻 则 造成 被 感染 的 计算 机 数据 破坏 和 工作 失常 ， 重 则 使 计算 机 瘫痪 。 
病毒 代码 就 是 靠 这 种 机 制 大 量 传播 和 扩散 的 。 携 带 病毒 代码 的 文件 成 为 计算 机 病毒 载体 
和 带 毒 程序 。 每 一 台 被 感染 了 病毒 的 计算 机 ， 本 身 既 是 一 个 受害 者 ， 又 是 计算 机 病毒 的 
传播 者 ， 通 过 各 种 可 能 的 渠道 ， 如 软盘 、 光 盘 、 活 动 硬盘 、 网 络 去 传染 其 他 的 计算 机 。 
在 染 毒 的 计算 机 上 曾经 使 用 过 的 软盘 ， 很 有 可 能 已 被 计算 机 病毒 感染 ， 如 果 把 它 拿 到 其 
他 机 器 上 使 用 ， 病 毒 就 会 通过 带 毒 软盘 传染 这 些 机 器 。 如 果 计 算 机 已 经 联网 ， 通 过 数据 
和 程序 共享 ， 病 毒 可 以 迅速 传染 与 之 相连 的 计算 机 ， 若 不 加 控制 ， 就 会 在 很 短 时 间 内 传 
遍 整 个 世界 。 

(3) 夺取 系统 控制 权 

一 般 的 正常 程序 由 系统 或 用 户 调用 ， 并 由 系统 分 配 资源 。 其 运行 目的 对 用 户 是 可 见 
的 和 透明 的 。 而 就 计算 机 病毒 的 程序 性 〈 可 执行 性 ) 而 言 ， 计 算 机 病毒 与 其 他 合法 程序 
一 样 ， 是 一 段 可 执行 程序 ， 但 它 不 是 一 个 完整 的 程序 ， 而 是 寄生 在 其 他 可 执行 程序 上 ， 
因此 它 享有 一 切 程序 所 能 得 到 的 权力 。 当 计算 机 在 正常 程序 控制 之 下 运行 时 ， 系 统 运行 
是 稳定 的 。 在 这 台 计 算 机 上 可 以 查看 病毒 文件 的 名 字 ， 查 看 或 打印 计算 机 病毒 代码 ， 甚 
至 拷贝 被 病毒 的 文件 ， 系 统 都 不 会 激活 并 感染 病毒 。 病 毒 为 了 完成 感染 、 破 坏 系统 的 目 
的 必然 要 取得 系统 的 控制 权 。 计 算 机 病毒 一 经 在 系统 中 运行 ,病毒 首先 要 做 初始 化 工作 ， 
在 内 存 中 找到 一 片 安身 之 地 ， 随 后 将 自身 与 系统 软件 挂 起 钓 来 执行 感染 程序 ， 即 取得 系 
统 控制 权 。 系 统 每 执行 一 次 操作 ， 病 毒 就 有 机 会 执行 它 预先 设计 的 操作 ， 完 成 病毒 代码 
的 传播 和 进行 破坏 活动 。 

(4) 隐蔽 性 

不 经 过 程序 代码 分 析 或 计算 机 病毒 代码 扫描 , 病毒 程序 与 正常 程序 不 易 区 别 开 。 计 
算 机 病毒 的 隐蔽 性 表现 在 两 个 方面 : 一 是 传染 的 隐蔽 性， 大 多 数 病毒 在 进行 传染 时 速度 
是 极 快 的 ， 一 般 不 具有 外 部 表现 ， 不 宜 被 人 发 现 ， 二 是 病毒 程序 存在 的 隐蔽 性 ， 一 般 的 
病毒 程序 都 夹 在 正常 程序 之 中 ， 很 难 被 发 现 ， 而 一 旦 病毒 发 作出 来 ， 往 往 已 给 计算 机 系 
统 造 成 了 不 同 程度 的 破坏 。 随 着 病毒 编写 技巧 的 提高 , 病毒 代码 本 身 还 进行 加 密 和 变形 ， 
使 得 对 计算 机 病毒 的 查找 和 分 析 更 为 困难 ， 容 易 造 成 漏 查 或 错 杀 。 

(5) 潜伏 性 

一 个 编制 精巧 的 计算 机 病毒 程序 ， 进 入 系统 之 后 一 般 不 会 马上 发 作 ， 可 以 在 几 周 或 
者 几 个 月 甚至 几 年 内 隐藏 在 合法 文件 中 ， 对 其 他 系统 进行 传染 ， 而 不 被 人 发 现 。 潜 伏 性 
越 好 ， 其 在 系统 中 的 存在 时 间 就 会 越 长 ， 病 毒 的 传染 范围 就 会 越 大 。 只 有 在 满足 其 特定 
条 件 后 才 启 动 其 表现 模块 ， 先 是 发 作 信息 和 进行 系统 破坏 。 其 中 一 个 例子 就 是 臭名 昭著 
的 CIH 病毒 ， 它 在 平时 会 隐藏 得 很 好 ， 而 只 有 在 每 月 的 26 日 发 作 时 才 会 凶 相 毕露 。 

使 计算 机 病毒 发 作 的 触发 条 件 主要 有 以 下 几 种 。 

@ 利用 系统 时 钟 提供 的 时 间作 为 触发 器 ， 这 种 触发 机 制 被 大 量 病 毒 使 用 。 

@ 利用 病毒 体 自 带 的 计数 器 作为 触发 器 。 病 毒 利用 计数 器 记录 某 种 事件 发 生 的 次 
数 ， 一 旦 计算 器 达到 设 定 值 ， 就 执行 破坏 操作 。 这 些 事件 可 以 是 计算 机 开机 的 次 数 ， 可 
以 是 病毒 程序 被 运行 的 次 数 ; 还 可 以 是 从 开机 起 被 运行 过 的 程序 数量 等 。 

@ 利用 计算 机 内 执行 的 某 些 特定 操作 作为 触发 器 。 特 定 操作 可 以 是 用 户 按 下 某 些 
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特定 键 的 组 合 , 可 以 是 执行 的 命令 ， 也 可 以 是 对 磁盘 的 读 写 。 被 病毒 使 用 的 触发 条 件 多 
种 多 样 ， 而 且 往 往 是 由 多 个 条 件 的 组 合 出 发 。 大 多 数 病毒 的 组 合 条 件 是 基于 时 间 的 ， 再 
辅 以 读 写 盘 操 作 ， 按 键 操作 以 及 其 他 条 件 。 

(6) 不 可 预见 性 

不 同 种 类 病毒 的 代码 千差万别 ， 病 毒 的 制作 技术 也 在 不 断 地 提高 ， 病 毒 比 反 病毒 软 
件 永远 是 超前 的 。 新 的 操作 系统 和 应 用 系统 的 出 现 ， 软 件 技术 不 断 地 发 展 ， 也 为 计算 机 
病毒 提供 了 新 的 发 展 空间 ， 对 未 来 病毒 的 预测 更 加 困难 ， 这 就 要 求人 们 不 断 提高 对 病毒 
的 认识 ， 增 强 防 范 意识 。 

(7) 病毒 的 衍生 性 、 持 久 性 、 欺 骗 性 等 。 


2. 防 病毒 系统 的 主要 功能 


(1) 防 病毒 系统 管理 功能 为 : 管理 及 下 发 防 病毒 服务 器 组 内 的 防 病毒 服务 器 及 各 个 
客户 端的 防 病毒 策略 ， 通 过 设 定 防 病毒 升级 服务 器 进行 防 病毒 组 内 的 服务 器 端 及 客户 端 
的 病毒 代码 更 新 ， 通 过 搜索 来 确定 网 络 内 的 防 病毒 服务 器 组 ， 搜 集 防 病毒 服务 器 的 运行 
日 志 。 

(2) 防 病毒 系统 应 用 功能 为 : 为 作为 防 病毒 服务 器 的 主机 提供 病毒 防护 ， 负 责 为 防 
病毒 服务 器 组 内 客户 端 进行 病毒 代码 更 新 ， 负 责 采 集 防 病毒 服务 器 组 内 客户 端 及 本 机 的 
运行 日 志 。 负 责 为 客户 端 所 在 机 器 提供 病毒 防护 。 可 以 进行 简单 的 客户 端 日 志 采 集 。 

(3) 防 病毒 系统 统计 分 析 功 能 为 : 进行 客户 端的 日 志 采 集 并 转发 到 服务 器 端 ， 对 采 
集 回 来 的 日 志 进 行 汇总 分 析 ， 采 取 不 同 的 分 类 方式 进行 查看 ， 方 便 网 络 管理 人 员 进 行 防 
病毒 的 策略 调整 。 


3. 计算 机 网 络 病毒 的 检测 与 防范 


当 一 台 计算 机 染 上 病毒 之 后 ， 会 有 许多 明显 或 不 明显 的 特征 。 例 如 ， 文 件 的 长 度 和 
日 期 忽然 改变 ， 系 统 执行 速度 下 降 或 出 现 一 些 奇怪 的 信息 或 无 故 死机 或 更 为 严重 的 是 硬 
盘 已 经 被 格式 化 了 。 

常用 的 防毒 软件 就 是 利用 所 谓 的 病毒 码 (virus pattem)。 病 毒 码 其 实 可 以 想象 成 是 
犯人 的 指纹 ， 当 防毒 软件 公司 收集 到 一 个 新 的 病毒 时 ， 就 会 从 这 个 病毒 程序 中 ， 截 取 一 
小 段 独一无二 足以 表示 这 个 病毒 的 二 进 制程 序 码 (binary code)， 来 当做 扫 毒 程序 辨认 此 
病毒 的 依据 ， 而 这 段 独一无二 的 二 进 制程 序 码 就 是 所 谓 的 病毒 码 。 在 电脑 中 所 有 可 以 执 
行 的 程序 (如 * .exe，*.com)〉 几乎 都 是 由 二 进 制程 序 码 所 组 成 的 ， 也 就 是 电脑 的 最 基本 
语言 一 -机 器 码 。 就 连 宏 病毒 在 内 ， 虽 然 它 只 是 包含 在 Word 文件 中 的 宏 命令 集中 ， 可 
是 ， 它 也 是 以 二 进 制 代码 的 方式 存在 于 Word 文件 中 。 

计算 机 网 络 病毒 的 防范 的 过 程 实际 上 就 是 技术 对 抗 的 过 程 ， 反 病毒 技术 相应 也 得 适 
应 病毒 繁衍 和 传播 方式 的 发 展 而 不 断 调整 。 网 络 防 病毒 应 该 利用 网 络 的 优势 ， 使 网 络 防 
病毒 逐渐 成 为 网 络 安全 体系 的 一 部 分 ; 重 在 防 ， 从 防 病毒 、 防 黑客 和 灾难 恢复 等 几 个 方 
面 综合 考虑 ， 形 成 一 整套 安全 机 制 ， 才 可 最 有 效 地 保障 整个 网 络 的 安全 。 主 要 从 下 列 几 
个 方面 进行 网 络 病毒 防范 。 
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(1) 以 网 为 本 ， 防 重 于 治 

防治 病毒 应 该 从 网 络 整体 考虑 ， 从 方便 减少 管理 人 员 的 工作 着 手 ， 透 过 网 络 管理 
PC。 例 如 ， 利 用 网 络 唤醒 功能 ， 在 夜间 对 全 网 的 PC 进行 扫描 ， 检 查 病 毒 情况 ， 利 用 在 
线 报警 功能 ， 当 网 络 上 每 一 台 机 器 出 现 故 障 、 病 毒 侵入 时 ， 网 络 管理 人 员 都 会 知道 ， 从 
而 从 管理 中 心 处 予以 解决 。 

(2) 与 网 络 管理 集成 

网 络 防 病毒 最 大 的 优势 在 于 网 络 的 管理 功能 ， 如 果 没 有 把 网 络 管理 加 上 ， 很 难 完成 
网 络 防 毒 的 任务 。 管 理 与 防范 相 结合 ， 才 能 保证 系统 的 良好 运行 。 管 理 功能 就 是 管理 全 
部 的 网 络 设备 : 从 Hub、 交 换 机 、 服 务 器 到 PC， 软盘 的 存 取 、 局 域 网 上 的 信息 互通 及 与 
Internet 的 接口 等 。 

(3) 安全 体系 的 一 部 分 

计算 机 网 络 的 安全 威胁 主要 来 自 计算 机 病毒 .黑客 攻击 和 拒绝 服务 攻击 这 3 个 方面 ， 
因而 计算 机 的 安全 体系 也 应 从 这 几 个 方面 综合 考虑 ， 形 成 一 整套 的 安全 机 制 。 防 病毒 软 
件 、 防 火 墙 产品 、 可 调整 参数 能 够 相互 通信 ， 形 成 一 整套 的 解决 方案 ， 才 是 最 有 效 的 网 
络 安全 手段 。 

(4) 多 层 防御 

多 层 防 御 体 系 将 病毒 检测 、 多 层 数据 保护 和 集中 式 管理 功能 集成 起 来 ， 提 供 了 全 面 
的 病毒 防护 功能 ， 从 而 保证 了 “治疗 ”病毒 的 效果 。 病 毒 检测 一 直 是 病毒 防护 的 支柱 ， 
多 层次 防御 软件 使 用 了 3 层 保护 功能 : 实时 扫描 、 完 整 性 保护 、 完 整 性 检验 。 

实时 扫描 驱动 器 能 对 未 知 的 病毒 包括 异形 病毒 和 秘密 病毒 进行 连续 的 检测 。 它 能 对 
E-mail 附加 部 分 ， 下 载 的 Internet 文件 (包括 压缩 文件 ) 软盘 及 正在 打开 的 文件 进行 实 
时 的 扫描 检验 。 扫 描 驱 动 器 能 阻止 已 被 感染 过 的 文件 拷贝 到 服务 器 或 工作 站 上 。 

完整 性 保护 可 阻止 病毒 从 一 个 受 感染 的 工作 站 扩散 到 服务 器 。 完 整 性 保护 不 只 是 病 
毒 检测 ， 实 际 上 它 能 制止 病毒 以 可 执行 文件 的 方式 感染 和 传播 。 完 整 性 保护 还 可 防止 与 
未 知 病毒 感染 有 关 的 文件 崩 演 和 根除 。 完 整 性 检验 使 系统 无 需 匈 余 的 扫描 并 且 能 提高 实 
时 检验 的 性 能 。 集 中 式 管 理 是 网 络 病毒 防护 最 可 靠 、 最 经 济 的 方法 。 多 层次 防御 病毒 软 
件 把 病毒 检测 、 多 层 数据 保护 和 集中 式 管 理 的 功能 集成 在 同一 产品 内 ， 因 而 极 大 地 减轻 
了 反 病 毒 管理 的 负担 ， 而 且 提供 了 全 面 的 病毒 防治 功能 。 

(5) 在 网 关 、 服 务 器 上 防御 

大 量 的 病毒 针对 网 上 资源 的 应 用 程序 进行 攻击 ， 这 样 的 病毒 存在 于 信息 共享 的 网 络 
介质 上 ， 因 而 要 在 网 关上 设防 ， 网 络 前 端 实时 杀毒 。 防 范 手段 应 集中 在 网 络 整体 上 ， 在 
个 人 计算 机 的 硬件 和 软件 .LAN 服务 器 、 服务器 上 的 网 关 、Interet 及 Intranet 的 Web Site 
上 ， 层 层 设 防 ， 对 每 种 病毒 都 实行 隔离 、 过 滤 。 


7.3.4 ”和 人 侵 检测 系统 


对 各 种 事件 进行 分 析 ， 从 中 发 现 违反 安全 策略 的 行为 是 入 侵 检 测 系 统 的 核心 功能 。 
检测 主要 判别 这 类 特征 是 否 在 所 收集 到 的 数据 中 出 现 。 或 者 将 系统 运行 时 的 数值 与 所 定 
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义 的 “正常 ”情况 比较 ， 得 出 是 否 有 被 攻击 的 结论 。 

入 侵 检 测 系统 可 以 单 台独 立 应 用 ， 也 可 以 由 多 台 入 侵 检 测 装置 组 成 系统 网 络 或 分 
级 、 分 步 入 侵 检测 系统 。 按 根据 收集 的 待 分 析 信 息 的 来 源 ， 入 侵 检测 系统 〈Intrusion 
Detection System，IDS) 可 分 为 以 下 3 类 。 


1. 基于 主机 的 入 侵 检测 系统 


基于 主机 的 入 侵 检测 技术 ， 通 过 分 析 特 定 主机 上 的 行为 来 检测 入 侵 ， 其 数据 来 源 通 
常 是 系统 和 应 用 程序 的 审计 日 志 ， 也 可 以 是 系统 的 行为 数据 ， 或 者 是 受 保护 系统 的 文件 
系统 等 。 它 们 必须 从 所 监测 的 主机 收集 信息 。 这 使 得 IDS 能 够 以 很 细 的 粒度 分 析 主 机 上 
的 行为 ， 同 时 能 够 精确 地 确定 对 操作 系统 执行 恶意 行为 的 进程 和 用 户 。 该 入 侵 检测 技术 
一 般 用 于 保护 关键 应 用 服务 器 ， 实 时 地 监视 和 检查 可 疑 连接 、 非 法 访问 和 系统 日 志 等 ， 
并 可 提供 对 主机 上 的 应 用 系统 (如 WebZ-mail 服务 等 ) 进行 监视 。 有 些 基于 主机 的 IDS 
通过 将 管理 功能 和 攻击 报告 集中 到 一 个 单一 的 安全 控制 台 上 ， 简 化 了 对 一 组 主机 的 管 
理 。 还 有 一 些 IDS 可 以 产生 同 网 管 系统 兼容 的 消息 。 

基于 主机 的 入 侵 检测 系统 的 优点 如 下 。 

(1) 由 于 基于 主机 的 IDS 可 以 获悉 一 个 主机 上 发 生 的 事件 ， 它 们 能 够 监测 基于 网 络 
的 IDS 不 能 检测 的 攻击 ， 由 于 它 可 以 获取 系统 高 层 应 用 的 特有 信息 ， 理 解 动作 的 含义 ， 
在 实现 某 些 特殊 功能 时 ， 例 如 ， 审 计 系统 资源 和 系统 行为 等 方面 ， 具 有 其 他 技术 无 法 蔡 
代 的 优势 。 

(2) 基于 主机 的 IDS 可 以 运行 在 使 用 加 密 的 网 络 上 ， 只 要 加 密 信 息 在 到 达 被 监控 的 
主机 时 或 到 达 前 解密 即 可 。 

(3) 基于 主机 的 IDS 可 以 运行 在 交换 网 络 中 。 

基于 主机 的 入 侵 检测 系统 的 缺点 如 下 。 

(1) 必须 在 每 个 被 监控 的 主机 上 都 安装 和 维护 信息 收集 机 制 。 

(2) 由 于 这 些 系 统 的 一 部 分 安装 在 有 可 能 遭 到 攻击 的 主机 上 ， 基 于 主机 的 IDS 可 能 
受到 攻击 并 被 一 个 高 明 的 攻击 者 设 为 元 效 。 

(3) 由 于 每 台 主机 上 的 IDS 只 能 看 见 该 主机 收 到 的 网 络 分 组 ， 基 于 主机 的 IDS 不 太 
适合 于 检测 针对 网 络 中 所 有 主机 的 网 络 扫描 。 

(4) 基于 主机 的 IDS 通常 很 难 检测 和 应 对 拒绝 服务 攻击 。 

(5) 由 于 其 原始 数据 来 源 受 到 具体 操作 系统 平台 的 限制 ， 其 入 侵 检 测 的 实现 需要 针 
对 特定 的 系统 平台 来 进行 设计 ， 因 此 ， 在 环境 适应 性 、 可 移植 性 方面 存在 一 定 问 题 。 

(6) 基于 主机 的 IDS 使 用 它 所 监控 的 主机 的 计算 资源 。 


2. 基于 网 络 的 入 侵 检测 系统 

基于 网 络 的 入 侵 检测 技术 其 信息 来 源 是 网 络 系统 中 的 信息 流 。 该 技术 不 依靠 审计 攻 
击 事件 对 目标 系统 的 影响 来 实现 ， 而 主要 是 分 析 网 络 行为 和 过 程 ， 通 过 行为 特征 或 异常 
来 发 现 攻击 事件 ， 从 而 检测 被 保护 网 络 上 发 生 的 入 侵 事件 。 此 类 系统 侧重 于 对 网 络 活动 
的 监视 和 检测 ， 因 而 能 够 实时 地 发 现 攻 击 的 企图 ， 在 很 多 情况 下 可 以 做 到 防 患 于 未 然 。 
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例如 , 网 络 上 发 生 了 针对 Windows NT 系统 的 攻击 行为 时 , 即使 其 保护 的 网 络 中 没有 NT 
系统 ， 基 于 网 络 的 入 侵 检 测 系统 也 可 以 检测 到 这 种 攻击 。 

基于 网 络 的 入 侵 检测 一 般 通 过 在 网 络 的 数据 链 路 层 上 进行 监听 的 方式 来 获得 信 
息 。 以 太 网 上 的 数据 发 送 是 采用 广播 方式 进行 的 , 而 计算 机 的 网 卡通 常 有 两 种 工作 模式 
一 种 是 正常 的 工作 模式 ， 只 接收 目的 P 地 址 为 本 机 地 址 的 人 P 数据 包 ; 另 一 种 是 杂 收 模 
式 ， 当 网 卡 工作 在 杂 收 模式 时 ， 就 能 使 一 台 主 机 不 管 目的 瑟 地 址 是 谁 而 接收 同一 广播 网 
段 上 传送 的 所 有 下 数据 包 。 

基于 网 络 的 入 侵 检测 系统 的 优点 如 下 。 

(1) 少量 位 置 适当 地 基于 网 络 的 IDS 可 以 监控 一 个 大 型 网 络 。 

(2) 基于 网 络 的 IDS 的 安装 对 已 有 网 络 影响 很 小 。 基 于 网 络 的 IDS 通常 是 一 些 被 动 
型 的 设备 ， 它 们 只 监听 网 络 而 不 干扰 网 络 的 正常 运作 。 因 此 ， 为 安装 基于 网 络 的 IDS 对 
现 有 网 络 的 改造 很 容易 进行 ， 所 需 的 代价 很 小 。 

(3) 由 于 原始 数据 来 源 丰 富 ， 只 要 传输 数据 未 进行 底层 加 密 ， 从 理论 上 就 可 检测 到 
一 切 通过 网 络 发 动 的 攻击 ， 特 别 是 只 有 此 类 系统 能 够 有 效 检 测 针 对 协议 械 和 特定 服务 的 
攻击 手段 ， 如 远程 缓冲 区 溢出 、 网 络 碎片 攻击 等 。 

(4) 由 于 只 关心 网 络 上 的 数据 , 在 实时 性 、 适 应 性 、 扩 展 性 方面 具有 其 独特 的 优势 。 

(5) 基于 网 络 的 IDS 可 以 很 好 地 避免 攻击 ， 对 于 很 多 攻击 者 来 说 甚至 是 不 可 见 的 。 

基于 网 络 的 入 侵 检测 系统 的 缺点 如 下 。 

(1) 在 一 个 大 型 的 或 拥挤 的 网 络 中 ， 基 于 网 络 的 IDS 很 难处 理 所 有 的 分 组 ， 因 此 有 
可 能 无 法 识别 网 络 流量 较 大 时 发 起 的 攻击 。 由 于 硬件 实现 的 速度 要 快 得 多 ， 有 些 厂商 试 
图 通过 完全 以 硬件 方式 实现 IDS 来 解决 这 个 问题 。 快 速 分 析 分 组 的 需求 也 迫使 厂商 使 用 
尽 可 能 少 的 计算 资源 来 监测 攻击 ， 这 会 降低 检测 的 有 效 性 。 

(2) 基于 网 络 的 IDS 的 许多 优势 并 不 适用 于 现代 的 基于 交换 的 网 络 。 交 换 机 可 以 将 
网 络 分 为 许多 小 单元 (常常 是 每 台 主机 一 条 快速 以 太 网 线 )， 可 以 同时 在 由 同一 交换 机 支 
持 的 主机 之 间 提 供 专用 链 路 。 多 数 交 换 机 不 提供 统一 的 监测 端口 ， 这 就 减少 了 基于 网 络 
的 IDS 探测 器 的 监测 范围 。 在 提供 监测 端口 的 交换 机 中 ， 往 往 通 过 一 个 端口 也 不 能 监测 
所 有 通过 该 交换 机 的 流量 。 

(3) 基于 网 络 的 IDS 不 能 分 析 加 密 信息 。 由 于 组 织 和 攻击 者 越 来 越 多 地 使 用 加 密 手 
段 进 行 攻击 ， 这 个 问题 就 日 益 严重 。 

(4) 多 数 基 于 网 络 的 IDS 不 报告 攻击 是 否 成 功 ， 它 们 只 报告 是 否 有 攻击 发 起 。 在 检 
测 到 一 个 攻击 后 ， 管 理 员 通 常 需 要 手工 查看 每 台 受 攻击 的 主机 以 确定 主机 是 否 被 入 侵 。 


3. 基于 应 用 的 入 侵 检测 系统 


基于 应 用 的 入 侵 检测 系统 监控 一 个 应 用 内 发 生 的 事件 。 通 常情 况 下 通过 分 析 应 用 的 
日 志文 件 检测 攻击 。 由 于 可 以 直接 接触 应 用 并 获悉 重要 的 域 或 应 用 信息 ， 基 于 应 用 的 
IDS 可 能 对 应 用 内 部 的 可 疑 行为 更 具有 洞察 力 或 更 细 粒 度 的 了 解 。 

基于 应 用 的 入 侵 检测 系统 的 优点 如 下 。 

(1) 基于 应 用 的 IDS 以 极 细 的 粒度 监测 行为 ， 从 而 可 以 通过 未 授权 的 行为 跟踪 到 个 
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别 用 户 。 

(2) 由 于 基于 应 用 的 IDS 常 与 可 能 执行 加 密 操 作 的 应 用 接触 ， 它 们 常 运行 在 加 密 的 
环境 中 。 

基于 应 用 的 入 侵 检测 系统 的 缺点 是 : 由 于 基于 应 用 的 IDS 通常 作为 所 监控 主机 上 的 
一 个 应 用 而 运行 ， 它 们 同 基 于 主机 的 IDS 相 比 更 易 受 到 攻击 而 失去 作用 。 


7.3.5 ”漏洞 扫描 系统 


安全 扫描 系统 与 防火 墙 、 入 侵 检测 系统 互相 配合 ， 能 够 有 效 提高 网 络 的 安全 性 。 通 
过 对 网 络 的 扫描 ， 网 络 管理 员 可 以 了 解 网 络 的 安全 配置 和 运行 的 应 用 服务 ， 及 时 发 现 安 
全 漏洞 ， 客 观 评估 网 络 风险 等 级 。 网 络 管理 员 可 以 根据 扫描 的 结果 更 正 网 络 安全 漏洞 和 
系统 中 的 错误 配置 ， 在 黑客 攻击 前 进行 防范 。 如 果 说 防火 墙 和 网 络 监 控 系 统 是 被 动 的 防 
御 手段 ， 那 么 安全 扫描 就 是 一 种 主动 的 防范 措施 ， 可 以 有 效 避 免 黑 客 攻 击 行为 ， 做 到 防 
患 于 未 然 。 


1， 网 络 隐患 扫描 系统 所 采用 的 基本 方法 


(1) 基于 单机 系统 的 安全 评估 系统 : 这 是 最 早期 所 采用 的 一 种 安全 评估 软件 ， 使 用 
的 是 基于 单 系 统 的 方法 。 安 全 检测 人 员 针 对 每 台 机 器 运行 评估 软件 进行 独立 的 检测 。 

(2) 基于 客户 的 安全 评估 系统 : 基于 客户 机 的 方法 中 ， 安 全 检测 人 员 在 一 台 客 户 机 
上 执行 评估 软件 。 在 网 络 中 的 其 他 机 器 并 不 执行 此 程序 。 

(3) 采用 网 络 探视 (network probe) 方式 的 安全 评估 系统 : 网 络 探测 型 的 评估 软件 
是 在 一 个 客户 端 执行 ， 它 通过 网 络 探测 网 络 和 设备 的 安全 漏洞 。 目 前 国外 很 多 功能 较为 
完善 的 系统 ， 如 NAI 的 CyberCops Scanner 等 采用 了 这 种 方式 。 网 络 探测 将 模拟 入 侵 
者 所 采用 的 行为 ， 从 系统 的 外 围 进行 扫描 试图 发 现 网 络 的 漏洞 。 

(4) 采用 管理 者 /代理 (manageragent) 方式 的 安全 评估 系统 : 管理 者 /代理 类 型 的 安 
全 隐患 扫描 结合 了 网 络 探测 等 技术 ， 为 企业 级 的 安全 评估 提供 了 一 种 高 效 的 方法 。 安 全 
管理 员 通 过 一 台 管 理 器 来 控制 位 于 网 络 中 不 同 地 点 的 多 个 安全 扫描 代理 (包含 安全 扫描 
和 探测 的 代码 ), 以 控制 和 管理 大 型 系统 中 的 安全 隐患 扫描 ,这 是 更 先进 的 一 种 设计 思想 。 


2. 数据 库 安 全 漏洞 扫描 系统 所 采用 的 基本 方法 


在 各 种 操作 系统 和 网 络 系统 中 存在 的 可 被 他 人 利用 和 入 侵 的 安全 性 漏洞 或 网 络 攻 
击 手段 可 达 上 千 种 ， 并 且 新 的 漏洞 和 攻击 手段 还 在 不 断 增加 。 因 此 ， 需 要 详细 分 析 和 掌 
握 现 有 的 漏洞 及 攻击 手段 ， 研 究 每 一 种 安全 性 漏洞 或 入 侵 手 段 的 原理 、 入 侵 方式 以 及 检 
测 方式 等 ， 并 对 所 涉及 的 各 种 研究 对 象 按照 其 内 在 特征 进行 分 类 和 系统 化 ， 再 对 每 一 类 
的 漏洞 进行 深入 研究 。 通 过 对 各 类 漏洞 的 分 析 ， 从 中 提取 规律 性 的 特征 ， 作 为 扫描 和 分 
析 的 依据 。 

通过 对 安全 性 漏洞 和 入 侵 手 段 的 分 析 研 究 ， 就 可 以 将 上 述 的 研究 成 果 进 行 归纳 总 
结 ， 形 成 一 个 安全 漏洞 数据 库 ， 作 为 扫描 检测 的 依据 。 这 个 数据 库 应 该 涵盖 所 有 有 关 各 
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种 安全 性 漏洞 和 入 侵 手段 的 信息 和 知识 。 

(1) 安全 性 漏洞 原理 描述 、 危 害 程度 、 所 在 的 系统 和 环境 等 信息 。 

(2) 采用 的 入 侵 方式 、 入 侵 的 攻击 过 程 、 漏 洞 的 检测 方式 。 

(3) 发 现 漏洞 后 建议 采用 的 防范 措施 。 

数据 库 的 组 织 逻 辑 上 可 划分 为 一 个 检测 方法 库 和 一 个 知识 库 。 知 识 库 中 详细 记录 着 
各 种 漏洞 和 入 侵 手 段 的 相关 知识 ; 方法 库 中 记录 各 种 漏洞 的 检测 方法 (漏洞 检测 代码 )。 
在 每 个 数据 库 中 将 根据 研究 对 象 的 分 类 来 组 织 划 分 。 安 全 漏洞 数据 库 的 设计 应 该 保持 良 
好 的 可 扩展 性 和 独立 性 ， 与 系统 中 扫描 引擎 独立 ， 可 实现 平滑 升级 和 更 新 。 


3. 安全 漏洞 扫描 引擎 


利用 漏洞 数据 库 可 以 实现 安全 漏洞 扫描 的 扫描 器 。 扫 描 器 的 设计 遵循 的 原则 是 : 与 
安全 漏洞 数据 库 相 对 独立 ， 可 对 数据 库 中 记录 的 各 种 漏洞 进行 扫描 。 

(1) 支持 多 种 0S， 以 代理 性 试 运行 于 系统 中 不 同 探测 点 ， 受 到 管理 器 的 控制 。 

(2) 实现 多 个 扫描 过 程 的 调度 ， 保 证 迅速 准确 地 完成 扫描 检测 ， 减 少 资源 占用 。 

(3) 有 准确 、 清 晰 的 扫描 结果 输出 ， 便 于 分 析 和 后 续 处 理 。 


4. 结果 分 析 和 报表 生成 


扫描 工具 还 应 具有 结果 分 析 和 报告 生成 的 能 力 。 通 过 分 析 扫 描 器 所 得 到 的 结果 发 现 
网 络 或 系统 中 存在 的 弱点 和 漏洞 ， 同 时 分 析 程 序 能 够 根据 这 些 结果 得 到 对 目标 网 络 安全 
性 的 整体 安全 性 评价 和 安全 问题 的 解决 方案 。 这 些 结果 和 解决 方案 将 通过 分 析 报 告 的 形 
式 提供 给 系统 管理 员 。 报 告 中 包含 的 内 容 如 下 。 

(1) 目标 网 络 中 存在 的 安全 性 弱点 的 总 结 。 

(2) 对 目的 网 络 系统 的 安全 性 进行 详细 描述 ， 为 用 户 确保 网 络 安全 提供 依据 。 

(3) 向 用 户 提供 修补 这 些 弱 点 的 建议 和 可 选择 的 措施 。 

(4) 能 就 用 户 系统 安全 策略 的 制定 提供 建议 ， 以 最 大 限度 地 帮助 用 户 实现 信息 系统 
的 安全 。 

报表 的 生成 是 通过 综合 分 析 扫 描 结果 和 相关 知识 库 中 的 信息 进行 的 。 


5. 安全 扫描 工具 管理 器 


扫描 工具 管理 器 提供 良好 的 用 户 界面 ， 实 现 扫描 管理 和 配置 。 如 果 采 用 分 布 式 扫描 
设计 , 扫描 器 ( 即 扫描 引擎 ) 可 以 作为 扫描 代理 的 形式 分 布 于 网 络 中 的 多 个 扫描 探测 点 ， 
同时 受到 管理 器 的 控制 和 管理 。 管 理 员 可 通过 管理 器 配置 特定 的 安全 扫描 策略 ， 包 括 在 
何 时 、 何 地 启动 哪些 类 型 的 扫描 等 。 

在 网 络 安全 体系 的 建设 中 ， 网 络 安全 扫描 工具 的 费用 低 、 效 果 好 、 见 效 快 ， 不 影响 
网 络 的 运行 ， 安 装运 行 简单 并 且 相 对 独立 ， 可 以 极 大 地 减少 安全 管理 员 的 手工 劳动 。 同 
时 ， 作 为 整个 网 络 安全 体系 中 的 一 部 分 ， 网 络 安全 扫描 工具 也 能 够 与 系统 中 的 其 他 网 络 
安全 工具 〔 如 防火 墙 、 入 侵 检测 系统 ) 协同 工作 ， 共 同 保证 整个 网 络 的 安全 和 稳定 以 及 
安全 性 策略 的 统一 。 
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7.3.6 网络 流量 分 析 系 统 


网 络 流量 分 析 系统 提供 了 用 户 上 网 行为 分 析 、 异 常 流量 实时 监测 、 历 史 流量 分 析 报 
表 到 流量 趋势 预警 等 功能 ， 涵 盖 了 网 络 流量 分 析 的 所 有 细节 ， 可 以 通过 日 报 、 周 报 、 月 
报 的 标准 报表 、 对 照 报表 、 趋 势 分 析 报 表 等 多 种 格式 报告 流量 分 析 结 果 。 

可 以 根据 网 络 的 具体 情况 定义 监控 参数 (Factor)， 并 可 以 通过 监控 参数 指定 流量 的 
来 源 和 目标 以 配置 监控 条 件 ， 并 可 通过 OR、NOT 等 逻辑 运算 组 合成 复合 条 件 (Filter) 。 
系统 将 依照 使 用 者 设 定之 监控 条 件 过 滤 收 到 的 NetFlow 资料 ， 并 将 符合 监控 条 件 的 统计 
资料 存 入 内 建 的 数据 库 中 。 最 后 ， 系 统 便 可 以 从 数据 库 里 读 取 资 料 做 成 各 种 图 表 
(Report)。 


7.3.7 ”带宽 管理 系统 


带宽 管理 系统 可 以 使 广域网 或 互联 网 上 运行 的 应 用 程序 提高 运行 效率 。 带 宽 管理 系 
统 可 以 控制 网 络 表现 , 使 之 与 应 用 程序 的 特点 、 业 务 运作 的 要 求 以 及 用 户 的 需求 相 适应 ， 
然后 ， 提 供 验证 结果 。 

带宽 管理 系统 技术 原理 : 带宽 管理 系统 自动 根据 应 用 程序 的 种 类 、 子 网 、URL 和 其 
他 信 流 特征 ， 将 网 络 信息 流 分 成 为 不 同 的 类 别 。 带 宽 管理 系统 所 做 的 远 远 超过 静态 地 对 
端口 、IP 地 址 等 作 分 辨 ， 而 是 以 OSI 网 络 模型 二 至 七 层 的 特征 为 基础 对 信息 进行 分 类 ， 
对 如 SAP 和 Oracle 等 各 种 应 用 程序 进行 精确 定位 。 


7.3.8 VLAN 虚拟 网 


VLAN (虚拟 网 ， 也 称 逻 辑 网 ) 是 以 交换 式 网 络 为 基础 ， 把 网 络 上 的 用 户 〈 终 端 设 
备 ) 划分 为 若干 个 逻辑 工作 组 ， 每 个 逻辑 工作 组 就 是 一 个 VLAN。 也 可 以 说 VLAN 就 
是 将 整个 网 络 在 逻辑 上 划分 的 一 些 虚拟 工作 组 。 网 络 管理 员 可 以 灵活 地 划分 VLAN， 增 
加 或 删除 VLAN 成 员 。 同 一 VLAN 中 的 成 员 不 受 物理 网 段 和 其 所 在 物理 位 置 的 限制 
也 就 是 说 VLAN 的 划分 与 用 户 所 处 的 物理 网 段 无 关 。 当 终端 设备 移动 时 ， 无 须 修改 它 的 
IP 地 址 。 在 更 改 用 户 所 加 入 的 VLAN 时 ， 也 不 必 重 新 改变 设备 的 物理 连接 ，VLAN 技 
术 提 供 了 动态 组 织 工作 环境 的 功能 。 


7.3.9 ”VPN 系统 


一 般 来 说 ， 虚 拟 专用 网 (Virtual Private Network，VPN) 是 指 利用 公共 网 络 ， 如 公 
共 分 组 交换 网 、 帧 中 继 网 、ISDN 或 因特网 等 的 一 部 分 来 发 送 专 用 信息 ， 形 成 逻辑 上 的 
专用 网 络 。VPN 的 目标 是 在 不 安全 的 公共 网 络 上 建立 一 个 安全 的 专用 通信 网 络 。VPN 
实际 上 是 一 种 服务 ， 其 基本 概念 如 下 所 述 。 
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(1) 采用 加 密 和 认证 技术 ， 利 用 公共 通信 网 络 设施 的 一 部 分 来 发 送 专用 信息 ， 为 相 
互通 信 的 节点 建立 起 一 个 相对 封闭 的 、 逻 辑 的 专用 网 络 。 

(2) 通常 用 于 大 型 组 织 跨 地 域 的 各 个 机 构 之 间 的 联网 信息 交换 ， 或 是 流动 工作 人 员 
与 总 部 之 间 的 通信 。 

(3) 只 人 允许 特定 利益 集团 内 建立 对 等 连接 ， 保 证 在 网 络 中 传输 的 数据 的 保密 性 和 安 
全 性 。 

虚拟 专用 网 可 以 实现 不 同 网 络 的 组 件 和 资源 之 间 的 相互 连接 。 虚 拟 专用 网 络 能 够 利 
用 Internet 或 其 他 公共 互联 网 络 的 基础 设施 为 用 户 创建 隧道 ， 并 提供 与 专用 网 络 一 样 的 
安全 和 功能 保障 。 

其 中 虚拟 〈virtual) 的 概念 是 相对 传统 专用 网 络 的 构建 方式 而 言 的 ， 对 于 广域网 连 
接 传统 的 组 网 方式 是 通过 远程 拨号 和 专线 连接 来 实现 的 而 VPN 是 利用 服务 提供 商 (ISP 
或 NSP) 所 提供 的 公共 网 络 来 实现 远程 的 广 域 连接 即 网 络 不 是 物理 上 独立 存在 的 网 络 ， 
而 是 利用 共享 的 通信 基础 设施 ， 仿 真 专用 网 络 的 设备 。 任 意 两 个 节点 之 间 的 连接 并 不 是 
传统 专 网 中 的 端 到 端的 物理 链 路 ， 而 是 利用 某 种 公众 网 的 资源 动态 组 成 的 。IETF 草案 中 
将 基于 IP 的 VPN 理解 为 : “使 用 卫 机 制 仿真 出 一 个 专用 的 广域网 ”， 是 通过 专用 的 隧 
道 技术 在 公共 数据 网 络 上 仿真 一 条 点 到 点 的 专用 线路 的 技术 。 用 户 不 再 需要 拥有 实际 的 
长 途 数据 线路 ， 而 是 使 用 Internet 公众 数据 网 络 的 长 途 数据 线路 。 

专用 (private) 的 含义 是 用 户 可 以 为 自己 制定 一 个 最 符合 自己 需求 的 网 络 ， 使 网 内 
业务 独立 于 网 外 的 业务 流 ， 且 具有 独立 的 寻 址 空间 和 路 由 空间 ， 而 且 使 得 用 户 获 得 等 同 
于 专用 网 络 的 通信 体验 。 

对 于 企业 来 说 ，VPN 提供 了 安全 、 可 靠 的 Internet 访问 通道 ， 为 企业 进一步 发 展 提 
供 了 可 靠 的 技术 保障 。 而 且 VPN 能 提供 专用 线路 类 型 服务 ， 是 方便 快捷 的 企业 私有 网 
络 ,。 企业 甚至 可 以 不 必 建 立 自己 的 广域网 维护 系统 , 而 将 这 一 繁重 的 任务 交 由 专业 的 ISP 
或 NSP 来 完成 。 由 于 VPN 的 出 现 ， 用 户 可 以 从 以 下 几 方 面 获 益 。 


1. 实现 了 网 络 安全 


具有 高 度 的 安全 性 ， 对 于 现在 的 网 络 是 极其 重要 的 。 新 的 服务 ， 如 在 线 银 行 需要 高 
度 的 安全 性 ， 而 VPN 多 种 方式 增强 了 网 络 的 智能 和 安全 性 。 首 先 ， 它 在 隧道 的 起 点 ， 在 
现 有 的 企业 鉴别 服务 器 上 ， 提 供 对 分 布 用 户 的 鉴别 、 权 限 设 置 等 ， 其 次 在 传输 中 采用 加 
密 技术 ; 另外 , VPN 支持 安全 和 加 密 协议 , 如 IPSec 协议 和 Microsoft 点 对 点 加 密 (MPPE) 
协议 。 在 可 靠 性 方面 ， 当 公共 网 络 的 一 部 分 出 现 故 障 时 ， 数 据 可 重新 选择 路 由 组 成 新 的 
逻辑 网 络 ， 不 会 受到 影响 ， 而 传统 的 专线 一 旦 出 现 故 障 则 会 导致 相应 的 网 络 瘫痪 。 


2. 简化 网 络 设计 和 管理 

网 络 管理 者 可 以 使 用 VPN 替代 租用 线路 来 实现 分 支 机 构 的 连接 。 这 样 就 可 以 将 对 远 
程 链 路 进行 安装 、 配 置 和 管理 的 任务 减少 到 最 小 ， 仅 此 一 点 就 可 以 极 大 地 简化 企业 广 域 
网 的 设计 。 另 外 ，VPN 通过 使 用 ISP 或 NSP 提供 的 服务 ， 减 少 了 调制 解 调 器 池 ， 简 化 
了 所 需 的 接口 ， 同 时 简化 了 与 远程 用 户 认 证 、 授 权 和 记 账 相关 的 设备 和 处 理 。 
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3. 降低 成 本 


VPN 可 以 立即 且 显 著 地 降低 费用 。 当 使 用 因特网 时 ， 实 际 上 只 需 付 短途 电话 费 ， 却 
收 到 了 长 途 通信 的 效果 。 因 此 ， 借 助 ISP 或 NSP 来 建立 VPN， 就 可 以 节省 大 量 的 通信 
费用 ， 局 域 网 互联 费用 可 降低 20% 一 40%， 而 远程 接 入 费用 更 可 减少 60% 一 80%。 此 外 ， 
VPN 还 使 企业 不 必 投 入 大 量 的 人 力 和 物力 去 安装 和 维护 WAN 设备 和 远程 访问 设备 ， 这 
些 工作 都 可 以 交 给 ISP 或 NSP。 具 体 的 ，VPN 使 用 户 可 以 降低 如 下 一 些 费用 。 

(1) 通信 费用 : VPN 可 以 通过 减少 长 途 费 或 800 局 电话 费用 来 节省 移动 用 户 的 通信 
花费 。 此 外 ，VPN 可 以 以 每 条 连接 的 40% 一 60% 的 成 本 对 租用 线路 进行 控制 和 管理 。 对 
于 国际 用 户 来 说 ， 这 种 节约 是 极为 显著 的 。 对 于 话音 数据 ， 节 约 金额 会 进一步 增加 。 

(2) 主要 设备 费用 : VPN 通过 支持 拨号 访问 外 部 资源 ， 使 企业 可 以 减少 不 断 增长 的 
调制 解 调 器 费用 。 另 外 ， 它 还 允许 一 个 单一 的 WAN 接口 用 作 多 种 用 途 ， 从 分 支 网 络 互 
联 、 商 业 伙伴 的 外 联网 终端 、 本 地 提供 高 带宽 的 线路 连接 到 拨号 访问 服务 提供 者 ， 原 来 
需要 流 经 不 同 设备 的 流量 可 以 统一 地 流 经 统一 设备 ， 因 此 ， 只 需要 极 少 的 WAN 接口 和 
设备 。 由 于 VPN 可 以 完全 管理 ， 并 且 能 够 从 中 央 网 站 进行 基于 策略 的 控制 ， 因 此 可 以 大 
幅度 地 减少 在 安装 配置 远 端 网 络 接口 设备 方面 上 的 开销 。 另 外 ， 由 于 VPN 独立 于 以 前 的 
协议 ， 这 就 使 得 远 端的 接 入 用 户 可 以 继续 使 用 原 有 的 传统 设备 ， 保 护 了 用 户 在 现 有 硬件 
和 软件 系统 上 的 投资 。 

(3) 支持 维护 费用 : 不 需要 购置 专门 的 维护 设备 并 费心 费力 地 派 专人 培训 、 维 护 、 
操作 和 值班 ， 大 量 的 网 管 及 维护 工作 均 可 由 服务 提供 商 集 中 管理 而 完成 。 


4. 容易 扩展 ， 适 应 性 强 

如 果 企 业 想 扩大 VPN 的 容量 和 禾 盖 范 围 。 企 业 需 做 的 事情 很 少 ， 而 且 能 及 时 实现 ， 
企业 只 需 与 新 的 IPS 签约 ， 建 立 账户 ， 或 者 与 原 有 的 ISP 重 签 合约 ， 扩 大 服务 范围 。 在 
远程 办 公 室 增加 VPN 能 力也 很 简单 ， 几 条 命令 就 可 以 使 Extranet 路 由 器 拥有 VPN 能 
力 ， 路 由 器 还 能 对 工作 站 自动 进行 配置 。 

S. 可 灵活 与 合作 伙伴 联网 

在 过 去 ， 企 业 如 果 想 与 合作 伙伴 联网 ， 双 方 的 信息 技术 部 门 就 必须 协商 如 何在 双方 
之 间 建 立 租用 线路 或 帧 中 继 线路 。 有 了 VPN 之 后 ， 这 种 协商 毫 无 必要 ， 真 正 达 到 了 要 连 
就 连 ， 要 断 就 断 。 

6. 完全 控制 主动 权 

借助 VPN, 企业 可 以 利用 ISP 的 设施 和 服务 , 同时 又 完全 掌握 着 自己 网 络 的 控制 权 。 


比方 说 ， 企 业 可 以 把 拨号 访问 交 给 ISP 去 做 ， 由 自己 负责 用 户 的 查验 、 访 问 权 、 网 络 地 
址 、 安 全 性 和 网 络 变化 管理 等 重要 工作 。 
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7. 支持 新 兴 应 用 


许多 专用 网 对 许多 新 兴 应 用 准备 不 足 ， 例 如 ， 那 些 要 求 高 带宽 的 多 媒体 和 协作 交互 
式 应 用 。VPN 则 可 以 支持 各 种 高 级 的 应 用 , 如 IP 语音、 IP 传真 , 还 有 各 种 协议 , 如 IPv6、 
MPLSSNMPv3 等 。 


7.4 网 络 信息 安全 防护 体系 应 用 实例 


2001 年 一 2004 年 结合 辽宁 电力 系统 信息 安全 示范 工程 实施 ， 省 公司 信息 中 心 组 织 中 
国电 科 院 、 哈 尔 滨 工业 大 学 、 中 科 院 沈阳 计算 所 、 北 京东 华 诚信 公司 、 辽 宁 奥 联 通 公司 
等 ， 为 了 及 时 有 效 地 了 解 这 些 系统 的 运行 状况 ， 对 整个 网 络 的 安全 状况 作出 评估 ， 设 计 
和 建设 了 辽宁 电力 网 络 信息 安全 防护 系统 。 设 计 根 据 辽 宁 电 力 网 络 信息 安全 的 实际 需 
要 ， 按 照 辽宁 电力 网 络 信息 安全 的 逻辑 层次 ， 构 建 了 从 基础 网 络 平台 、 安 全 产品 到 应 用 
系统 的 信息 安全 防护 系统 。 全 方位 地 保障 电力 信息 网 络 的 安全 。 辽 宁 电力 系统 网 络 信 息 
安全 防护 体系 是 由 防 病毒 系统 、 防 火 墙 系统 、 漏 洞 扫 描 、 入 侵 检测 和 网 络 流量 分 析 等 综 
合 应 用 系统 构成 。 


7.4.1 部 署 统 一 分 层 管理 的 防火 墙 系统 


1. 防火墙 系统 实现 的 应 用 功能 


在 省 公司 及 所 属 13 个 供电 公司 统一 部 署 了 防火 墙 系统 ， 形 成 统一 的 层次 化 的 防火 墙 
防护 体系 。 将 辽宁 电力 信息 网 整体 划分 为 外 网 、 行 业 、 基 层 、 住 宅 区 、DMZ 和 内 网 6 
个 安全 域 ， 在 安全 域 之 间 采 取 有 效 的 访问 控制 措施 。 在 Intemet 出 口 、 服 务 器 集群 网 段 
接口 处 ， 以 及 基层 的 接 入 处 的 防火 墙 ， 采 用 双 机 热 备 、 负 载 均衡 的 部 署 方案 。 

为 了 保证 防火 墙 安全 策略 的 一 致 与 完整 性 ， 提 高 安全 管理 水 平 ， 在 省 公司 对 所 有 的 
防火 墙 进行 集中 管理 ， 统 一 设置 、 维 护 安全 策略 并 下 发 ， 监 督 所 有 防火 墙 运 行 状况 ， 查 
看 、 统 一 分 析 安 全 日 志 。 落 实 防火 墙 管理 制度 ， 技 术 手段 和 管理 手段 结合 使 用 ， 保 证 企 
业 安 全 。 

辽宁 电力 有 限 公 司 信息 网 络 系统 经 过 广域网 接口 或 拨号 与 各 所 属 单位 连接 ， 为 了 保 
证 省 公司 信息 网 络 中 信息 系统 的 安全 性 ， 对 经 过 省 公司 信息 网 络 边界 的 信息 流 进行 限 
制 、 监 控 、 审 计 、 保 护 、 认 证 等 方面 的 要 求 ， 需 要 采用 VPN 和 防火 墙 协作 的 技术 ， 同 时 
结合 其 他 各 种 安全 技术 ， 搭 建 出 一 个 严密 的 业务 安全 平台 。 


2. VPN 和 防火 墙 协作 主要 的 特点 


(1) 关键 信息 在 安全 域内 传输 。 确 保 关 键 信息 只 能 在 受 限 的 安全 域内 传输 ， 以 确保 
信息 不 会 通过 网 络 泄密 。 通 过 制定 安全 策略 ， 对 于 特写 类 型 的 信息 ， 只 人 允许 在 指定 的 安 
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全 域内 传输 ， 如 果 信 息 的 发 送 者 试图 向 安全 域 之 外 发 送信 息 ， 那 么 发 送 请 求 将 被 拒绝 ， 
同时 ， 这 种 破坏 安全 策略 的 行为 将 会 被 记录 到 系统 日 志 中 。 

(2) 完善 的 认证 与 授权 体系 。 无 论 是 外 网 用 户 还 是 内 网 用 户 ， 在 访问 关键 的 业务 资 
源 时 ， 都 需要 经 过 严格 的 身份 认证 和 授权 检查 。 通 过 RADIUS 协议 ，VPN 网 关 可 以 与 各 
种 认证 服务 器 无 颖 集成 。 也 可 以 通过 LDAP 协议 ， 支 持 公 钥 证 书 来 认证 用 户 的 身份 。 这 
种 身份 的 验证 不 仅仅 是 验证 用 户 的 身份 ， 还 包括 验证 用 户 的 操作 权限 及 保密 级 别 。 

(3) 严密 的 信息 流向 审查 及 系统 行为 的 监控 。 对 于 省 公司 信息 网 络 系统 来 说 ， 在 保 
证 业务 正常 进行 的 前 提 下 ， 确 保 信 息 不 失 密 ， 同 时 要 监控 各 类 主体 〈 用 户 、 程 序 ) 对 关 
键 业务 信息 的 存 取 是 至 关 重要 的 。VPN 和 防火 墙 协作 具有 功能 强大 的 审计 系统 ， 可 以 记 
录 关 键 业 务 主机 之 间 传 递 信息 的 流向 ， 以 及 对 关键 业务 主机 的 所 有 访问 〈 源 下 、 用 户 、 
时 间 、 访问 的 服务 )， 确 保 系统 的 可 审计 性 和 可 追查 性 。 在 发 生 违 反 安全 策略 的 事件 时 ， 
可 采用 多 种 方式 实时 发 出 报警 。 

(4) 通过 采用 公 钥 验证 技术 ， 确 保 网 络 连 接 的 真实 性 和 完整 性 ， 包 括 在 连接 中 传输 
数据 的 机 密 性 和 完整 性 。 

在 实际 操作 中 ， 配 置 防火 墙根 据 、 协 议 、 服 务 、 时 间 等 因素 具体 实施 区 域 间 边界 
访问 控制 。 


3， 建立 网 络 安全 边界 


(1) 在 东北 公司 、 网 调和 省 调 接 口 部 署 防火 墙 进行 访问 控制 和 审计 ， 建 立 省 网 安全 
边界 ， 保 障 省 网 安全 。 图 7-1 为 调整 后 的 省 公司 信息 网 络 系统 上 述 接口 。 


东北 公司 


séRg600B 辽宁 省 电力 信息 网 
一 一作 一 
| 防火 墙 办 
A VPNY” 

SSR8600C 9 


图 7-1 调整 后 的 省 公司 信息 网 络 与 东北 公司 、 网 调和 省 调 系统 接口 图 


(2) 在 拨号 接口 和 内 部 财务 接口 部 署 防火 墙 进行 访问 控制 和 审计 ， 建 立 省 网 安全 边 
界 ， 保 障 省 网 安全 。 图 7-2 为 调整 后 的 省 公司 信息 网 络 系统 上 述 接口 。 
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防火 墙 
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图 7-2 调整 后 的 省 公司 信息 网 络 与 电信 、 物 资 公司 和 职 大 医院 、 住 宅 接口 图 


(3) 在 各 电 业 公司 和 发 电厂 接口 和 各 地 市 供电 公司 当地 部 署 防火 墙 进行 访问 控制 和 
审计 ， 建 立 省 网 安全 边界 ， 保 障 省 网 安全 。 图 7-3 为 调整 后 的 省 公司 信息 网 络 系统 上 述 
接口 。 
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图 7-3 调整 后 的 省 公司 信息 网 络 与 各 电 业 公 司 和 发 电厂 系统 接口 图 
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(4) 部 署 防火 墙 后 辽宁 电力 信息 网 络 系统 ， 图 7-4 为 部 署 防火 墙 后 的 辽宁 省 电力 有 
限 公司 电力 信息 网 网 络 拓扑 图 。 
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图 7-4 部 署 防火 墙 后 的 辽宁 省 电力 有 限 公司 电力 信息 网 网 络 拓扑 图 
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7.4.2 部署 统一 分 层 管理 的 防 病毒 系统 


1， 防 病毒 系统 实现 的 应 用 功能 


(1) 网 关 型 防 病毒 部 署 

在 辽宁 电力 有 限 公司 信息 网 与 Internet 出 口 处 、 基 层 单位 接口 处 ， 与 国家 电力 公司 
企业 网 以 及 辽宁 省 党 政信 息 网 等 出 入 口 处 部 署 网 关 型 的 防 病毒 产品 ， 这 样 可 以 在 辽宁 电 
力 有 限 公司 信息 网 出 入 口 处 实施 内 容 检查 和 过 滤 , 可 以 防止 病毒 通过 SMTP、 HTTP、 FTP 
等 方式 从 Intermet 进入 辽宁 电力 有 限 公 司 信息 网 。 此 处 是 堵 住 病毒 的 第 一 道 关 口 ， 应 部 
署 采用 先进 技术 、 高 性 能 的 防 病毒 的 产品 。 

在 具体 配置 网 关 型 防 病毒 系统 ， 涉 及 路 由 、 代 理 服 务 器 以 及 SMTP 服务 器 等 相关 配 
置 的 变化 和 是 用 户 端 配置 的 修改 。 对 SMTP 数据 流 进行 查 、 杀 毒 ， 需 要 将 其 安装 在 防火 
墙 的 后 面 ， 在 邮件 服务 器 的 前 面 。 在 扫描 完 病毒 后 ，SMTP 网 关 型 防 病毒 服务 器 把 所 有 
的 邮件 路 由 到 原始 的 邮件 服务 器 上 ， 然 后 传递 给 邮件 用 户 。 对 网 络 性 能 影响 较 小 。 
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(2) 服务 器 型 防 病毒 部 署 

辽宁 电力 有 限 公司 内 部 有 大 量 重要 数据 和 应 用 ， 都 存在 信息 中 心中 央 的 数据 库 服务 
器 以 及 相应 的 应 用 服务 器 中 。 如 果 它 们 遭受 病毒 袭击 ， 以 至 不 能 恢复 ， 对 辽宁 电力 有 限 
公司 会 造成 业务 中 断 和 重大 损失 。 对 中 央 数 据 库 服务 器 、 邮 件 服务 器 、WWW 应 用 服务 
器 以 及 部 门 服务 器 等 重要 服务 器 配置 服务 器 型 防 病毒 产品 ， 以 免 当 网 关 级 防 病毒 产品 失 
效 时 ， 进 一 步 保护 服务 器 免 受 病毒 困扰 。 

针对 辽宁 电力 有 限 公司 内 的 邮件 服务 器 系统 ， 部 署 相应 的 邮件 服务 器 防 病毒 产品 。 

辽宁 电力 有 限 公司 内 部 有 多 种 平台 的 服务 器 系统 ， 如 Windows NT、UNIX、Solaris 
等 ， 可 针对 不 同 平台 的 服务 器 部 署 相应 的 服务 器 型 防 病毒 产品 。 

(3) 桌面 型 防 病毒 部 署 

对 一 般 桌 面 机 ， 包 括 机 关 大 楼 的 PC 和 住宅 区 的 PC， 配 置 桌面 型 防 病毒 产品 ， 实 现 
对 系统 、 磁 盘 、 可 移动 磁盘 、 光 盘 以 及 调制 解 调 器 连接 所 收发 文件 的 病毒 防护 。 

桌面 机 防 病毒 系统 采用 C/S 模式 ， 服 务 端 防 病毒 系统 将 自动 检测 各 桌面 机 上 防 病 毒 
软件 的 安装 情况 ， 服 务 端 将 自动 分 发 并 远程 安装 、 更 新 各 工作 站 病毒 防护 系统 ， 并 对 所 
有 桌面 机 的 防 病毒 工作 进行 集中 管理 和 控制 ， 可 使 全 网 的 防 病毒 工作 更 加 简单 和 易于 管 
理 。 同 时 用 户 也 可 以 主动 安装 ， 通 过 共享 目录 、 安 装 CD 或 基于 Web 的 方式 安装 。 在 信 
息 安 全 中 心 部 署 一 台 服 务 器 ， 安 装 相应 的 防 病毒 软件 ， 负 责 对 全 省 局 范围 内 桌面 机 的 远 
程 安 装 、 更 新 升级 等 。 


2. 统一 防 病毒 策略 和 分 布 式 管理 防 病毒 系统 


(1) 统一 防 病毒 策略 和 分 布 式 管理 

根据 辽宁 电力 有 限 公 司 ( 包 括 基层 单位 ) 纵向 、 层 次 的 网 络 结构 ， 在 整个 网 络 防 病 
毒 管理 方面 ， 采 取 统一 、 分 布 式 的 管理 方式 。 即 在 整个 辽宁 电力 有 限 公 司 内 采用 统一 防 
病毒 策略 和 分 布 式 管理 的 方式 。 在 这 种 管理 模式 下 ， 整 个 辽宁 电力 有 限 公 司 〈 包 括 基层 ) 
制定 并 采用 统一 的 防 病毒 策略 和 防 病毒 管理 制度 ， 通 常情 况 下 ， 省 局 、 基 层 单位 按照 统 
一 的 病毒 防治 策略 各 自 管理 自己 的 局 域 网 内 的 防 病毒 产品 ， 但 省 局 可 以 在 需要 的 时 候 对 
基层 单位 进行 管理 和 监督 ， 确 保 统一 的 防 病毒 软件 和 策略 在 整个 网 络 中 的 贯彻 和 实施 。 

其 中 对 防 病毒 产品 的 统一 管理 还 包括 防 病毒 软件 的 安装 、 维 护 、 病 毒 定 义 码 和 扫描 
引擎 的 更 新 升级 、 报 警 的 集中 管理 、 定 时 调度 、 隔 离 、 实 时 扫描 和 监控 等 。 其 中 对 某 些 
安全 策略 和 配置 设置 、 病 毒 码 和 扫描 引擎 的 更 新 ， 采 用 强制 执行 的 政策 ， 以 免 由 于 个 别 
员工 安全 意识 薄弱 ， 而 降低 企业 的 整体 防 病毒 能 力 。 

不 同 产品 的 实现 形式 不 一 样 ， 例 如 对 symantec 防 病毒 产品 ， 省 局 防毒 控制 系统 是 
SSC 兼 主 一 级 服务 器 ， 基 层 单位 防毒 控制 系统 是 SSC 兼 一 级 服务 器 ， 而 防毒 产品 包括 基 
于 服务 器 和 客户 机 的 各 个 层次 上 的 防 病毒 产品 〈 其 中 网 关 处 和 邮件 服务 器 防 病毒 产品 是 
通过 Web 方式 或 专用 的 控制 台 进行 管理 的 )， 其 中 省 局 的 主 一 级 服务 器 可 管理 省 局 的 防 
病毒 产品 ， 同 时 管理 基层 单位 的 一 级 服务 器 。 

(2) 对 防 病毒 产品 及 时 、 自 动 更 新 

对 防 病 毒 产 品 进行 及 时 、 自 动 更 新 ， 可 以 及 时 查 除 新 近 出 现 的 各 种 病毒 ， 保 护 辽 宁 
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电力 有 限 公司 信息 网 免 受 病毒 侵害 。 其 中 对 防 病毒 产品 的 更 新 主要 是 对 网 络 病毒 定义 码 
和 扫描 引擎 的 更 新 升级 。 目 前 主要 有 如 下 更 新 升级 方式 。 

G@ 所 有 防 病毒 产品 到 防 病毒 厂商 网 站 处 更 新 病毒 定义 码 和 扫描 引擎 。 

@ 省 局 和 基层 单位 的 管理 控制 系统 各 自分 别 到 防 病毒 厂商 处 更 新 病毒 定义 码 和 扫 
描 引 擎 ， 然 后 由 省 局 和 各 基层 单位 的 管理 控制 系统 分 别 负责 本 单位 内 病毒 定义 码 和 扫描 
引擎 的 更 新 。 

@ 由 省 局 统一 进行 病毒 定义 码 和 扫描 引擎 的 更 新 、 升 级 。 也 就 是 说 ， 由 省 局 的 防 
毒 管理 控制 系统 自动 到 厂商 的 防 病毒 网 站 上 更 新 最 新 的 病毒 定义 码 和 扫描 引擎 ， 而 其 他 
防 病毒 产品 的 更 新 则 靠 管 理 控制 系统 自动 下 推 /或 上 拉 更 新 的 病毒 定义 码 和 扫描 引擎 来 
完成 ， 形 成 一 种 树 状 的 结构 。 

@ 为 避免 重复 下 载 相同 的 病毒 定义 码 和 扫描 引擎 ， 节 省 广域网 网 络 带宽 ， 确 保 辽 
宁 电力 有 限 公司 任何 时 刻 都 具有 最 强 的 防 病毒 能 力 ， 同 时 确保 辽宁 电力 有 限 公 司 和 其 基 
层 单位 保持 管理 的 相对 独立 性 ， 可 将 病毒 定义 码 和 扫描 引擎 的 更 新 升级 方式 结合 使 用 。 

@@ 不 同 厂商 的 防 病毒 产品 的 实现 方式 存在 差异 ， 本 方案 中 将 结合 symantec 公司 的 
防 病毒 产品 介绍 病毒 码 和 扫描 引擎 的 更 新 升级 方式 。 

在 省 局 、 各 基层 单位 局 域 网 内 部 ， 分 别 建立 内 部 病毒 定义 码 和 扫描 引擎 升级 服 
务 器 一 LiveUpdate Serves 由 这 台 升 级 服务 器 到 上 一 级 或 赛 门 铁 克 网 站 自动 更 新 最 新 的 
病毒 定义 码 和 扫描 引擎 ， 局 域 网 内 部 所 有 服务 器 和 客户 端 防 病毒 产品 〈 包 括 网 关 防 病毒 
产品 ) 都 到 这 台 LiveUpdate 服务 器 上 更 新 升级 最 新 的 病毒 定义 码 和 扫描 引擎 ， 可 以 通过 
省 局 的 LiveUpdate Server 进行 更 新 ,也 可 以 直接 通过 互联 网 到 symantec 网 站 上 进行 更 新 ， 
如 图 7-5 所 示 。 
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图 7-5 统一 部 署 防 病毒 策略 和 分 布 式 管理 防 病毒 系统 
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(3) 定义 统一 防 病毒 安全 规则 

定义 适合 辽宁 电力 有 限 公司 的 防 病毒 安全 规则 ， 可 以 提高 整个 企业 对 病毒 的 抵抗 能 
力 。 此 处 涉及 的 安全 规则 主要 是 和 防 病毒 管理 人 员 相关 的 ， 其 中 主要 包括 如 下 内 容 。 

中 打开 时 自动 防护 功能 。 

@ 设 定 病毒 定义 码 和 扫描 引擎 自动 更 新 。 

@ 每 周 定时 对 所 有 系统 进行 一 次 全 面 杀毒 〈 包 括 关 键 业务 服务 器 )。 

@ 设 定 提供 详尽 病毒 活动 记录 ， 方 便 追 踪 病 源 。 

@ 设置 报警 方式 。 当 发 现 病毒 时 ， 在 本 机 上 显示 消息 ， 同 时 通过 适当 方式 通知 管 
理 员 ， 以 便 管 理 员 迅速 采取 应 对 措施 。 

@ 为 保证 重要 数据 不 丢失 ， 设 置 侦 测 到 病毒 时 的 处 理 动作 为 转移 至 特定 目录 ， 然 
后 根据 情况 进行 杀毒 ， 删 除 等 处 理 。 

@ 遇 到 传染 性 特 强 的 病毒 时 ， 主 动 和 防 病毒 厂商 联系 ， 寻 求解 决 方案 等 。 

@ 锁定 某 些 策略 配置 ， 如 对 关键 服务 器 ， 只 能 从 管理 控制 系统 进行 配置 修改 。 

(4) 落实 对 应 的 管理 制度 和 策略 

落实 对 应 的 管理 制度 和 策略 ， 使 防 病毒 系统 发 挥 其 应 有 的 作用 。 落 实 病毒 防治 管理 
制度 和 策略 是 和 辽宁 电力 有 限 公司 内 的 全 体 员工 息息相关 的 ， 需 要 在 相关 管理 部 门 的 督 
促 下 ， 加 强 对 防毒 系统 的 管理 ， 使 其 发 挥 最 大 功效 ， 同 时 对 全 体 员 工 进行 病毒 危害 和 病 
毒 防治 的 重要 性 相关 教育 、 培 训 ， 提 高 员工 安全 意识 ， 使 广大 员工 自觉 执行 、 落 实 各 项 
规章 制度 ， 才 能 最 大 程度 上 确保 企业 免 受 病毒 困扰 。 

在 辽宁 电力 信息 网 内 统一 部 署 了 防 病毒 系统 ， 制 定 并 采用 统一 的 防 病毒 策略 和 防 病 
毒 管理 制度 ， 省 公司 设 一 级 防 病毒 服务 器 ， 基 层 单位 及 其 二 级 单位 设 二 、 三 级 防 病毒 服 
务 器 ， 由 省 公司 负责 病毒 定义 码 的 更 新 。 

落实 《辽宁 电力 有 限 公司 病 毒 防治 管理 制度 》 的 各 项 规定 。 针 对 辽宁 电力 有 限 公司 
信息 系统 的 网 络 拓扑 图 及 其 实际 需求 ， 防 病毒 方案 如 图 7-6 所 示 。 


7.4.3 部 署 统一 分 层 管理 的 人 侵 检 测 系统 


在 省 公司 系统 中 统一 部 署 了 入 侵 检测 系统 (IDS)、 漏 洞 扫 描 系 统 和 主机 加 固 系统 。 
可 以 发 现 网 络 中 的 可 疑 行为 或 恶意 攻击 ， 及 时 报警 和 响应 。 可 对 网 络 和 主机 进行 定期 的 
扫描 ， 及 时 发 现 信息 系统 中 存在 的 漏洞 ， 采 取 补 救 措施 ， 增 加 系统 安全 性 。 通 过 建立 信 
息 安全 防护 体系 ， 有 效 地 保证 了 省 公司 信息 网 络 和 应 用 的 安全 。 


1， 人 入 侵 检测 系统 实现 的 应 用 功能 


(1) 入 侵 检 测 系统 (IDS) 整体 功能 

Q@ 检测 来 自 数 千 种 蠕虫 、 病 毒 、 木 马 和 黑客 的 威胁 。 

@ 检测 来 自 拒绝 服务 攻击 的 威胁 。 

@ 检测 您 的 网 络 因为 各 种 IMS (实时 消息 系统 )、 网 络 在 线 游戏 导致 的 企业 资源 
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图 7-6 辽宁 电力 信息 主干 网 络 防 病毒 部 署 拓扑 图 


@ 检测 P2P 应 用 可 能 导致 的 企业 重要 机 密 信息 泄露 和 可 能 引发 与 版 权 相 关 的 法 律 
问题 。 

@@ 保障 您 的 电子 商务 或 电子 政务 系统 24X7 不 间断 运行 。 

提高 企业 整体 的 网 络 安全 水 平 。 

@ 降低 企业 整体 的 安全 费用 以 及 对 于 网 络 安全 领域 人 才 的 需求 。 

迅速 定位 网 络 故障 ， 提 高 网 络 稳定 运行 时 间 。 

(2) 入 侵 检测 分 析 过 程 

从 总 体 来 说 ， 入 侵 检测 系统 可 以 分 为 两 个 部 分 : 收集 系统 和 非 系统 中 的 信息 然后 对 
收集 到 的 数据 进行 分 析 ， 并 采取 相应 措施 。 

第 一 部 分 : 信息 收集 

信息 收集 包括 收集 系统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 。 而 且 ， 需 要 在 计算 
机 网 络 系统 中 的 若干 不 同 关键 点 〈 不 同 网 段 和 不 同 主机 ) 收集 信息 ， 这 除了 尽 可 能 扩大 
检测 范围 的 因素 外 ， 还 有 一 个 就 是 对 来 自 不 同 源 的 信息 进行 特征 分 析 之 后 比较 得 出 问题 
所 在 的 因素 。 

第 二 部 分 : 信号 分 析 

对 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ， 一 般 通过 3 种 
技术 手段 进行 分 析 : 模式 匹配 、 统 计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 入 
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侵 检测 ， 而 完整 性 分 析 则 用 于 事后 分 析 。 

Q@ 模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 已 有 模式 数据 库 进 行 比 
较 ， 从 而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 〈 如 通过 字符 串 匹配 以 寻找 一 个 
简单 的 条 目 或 指令 》 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 
一 般 来 讲 ， 一 种 进攻 模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 〈 如 获得 权限 ) 
来 表示 。 该 方法 的 一 大 优点 是 只 需 收集 相关 的 数据 集合 ， 显 著 减 少 系统 负担 ， 且 技术 已 
相当 成 熟 。 它 与 病毒 防火 墙 采用 的 方法 一 样 ， 检 测 准确 率 和 效率 都 相当 高 。 但 是 ， 该 方 
法 存在 的 弱点 是 需要 不 断 的 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ， 不 能 检测 到 从 未 出 现 
过 的 黑客 攻击 手段 。 

@ 统计 分 析 方 法 首先 给 系统 对 象 ( 如 用 户 、 文 件 、 目 录 和 设备 等 ) 创建 一 个 统计 
描述 ， 统 计 正 常 使 用 时 的 一 些 测 量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 )。 在 比较 
这 一 点 上 与 模式 匹配 有 些 相 像 之 处 。 测 量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进 
行 比较 ， 任 何 观察 值 在 正常 值 范围 之 外 时 ， 就 认为 有 入 侵 发 生 。 例 如 ， 本 来 都 默认 用 
GUEST 账号 登录 的 ， 突 然 用 ADMINI 账号 登录 。 这 样 做 的 优点 是 可 检测 到 未 知 的 入 侵 
和 更 为 复杂 的 入 侵 ， 缺 点 是 误 报 、 漏 报 率 高 ， 且 不 适应 用 户 正常 行为 的 突然 改变 。 具 体 
的 统计 分 析 方 法 如 基于 专家 系统 的 、 基 于 模型 推理 的 和 基于 神经 网 络 的 分 析 方 法 ， 目 前 
正 处 于 研究 热点 和 迅速 发 展 之 中 。 

@ 完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 这 经 常 包括 文件 和 目录 的 内 
容 及 属性 ， 它 在 发 现 被 更 改 的 、 被 特洛伊 化 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 
强 有 力 的 加 密 机 制 ， 称 为 消息 摘要 函数 〈 例 如 MD5)， 它 能 识别 哪怕 是 微小 的 变化 。 其 
优点 是 不 管 模式 匹配 方法 和 统计 分 析 方法 能 否 发 现 入 侵 ， 只 要 是 成 功 的 攻击 导致 了 文件 
或 其 他 对 象 的 任何 改变 ， 它 都 能 够 发 现 。 缺 点 是 一 般 以 批 处 理 方式 实现 ， 用 于 事后 分 析 
而 不 用 于 实时 响应 。 尽管 如 此 , 完整 性 检测 方法 还 应 该 是 网 络 安全 产品 的 必要 手段 之 一 。 
例如 ， 可 以 在 每 一 天 的 某 个 特定 时 间 内 开启 完整 性 分 析 模 块 ， 对 网 络 系统 进行 全 面 的 扫 
描 检查 。 


2 入侵 检测 系统 (IDS) 在 辽宁 电力 信息 网 的 实际 应 用 


按照 “二 级 部 署 ， 二 级 监控 ， 一 级 管理 中 心 ”的 部 署 内 容 ， 在 辽宁 省 电力 有 限 公司 
及 各 地 市 供电 公司 部 署 绿 盟 科技 入 侵 检测 设备 ， 从 而 实现 入 侵 检测 系统 “引擎 分 布 、 监 
控 集中 、 管 理 统一 ”的 功能 要 求 ， 达 到 增强 辽宁 电力 信息 网 安全 防护 能 力 的 设计 目标 。 

辽宁 省 电力 有 限 公 司 : 部 署 绿 盟 科技 千 兆 入 侵 检 测 设备 NIDS1600， 负 责 对 本 地 局 
域 网 和 所 辖 范 围 进行 区 域 管理 ， 包 括 与 各 局 通信 口 、 家 属 区 通信 口 和 Internet 出 口 ， 全 
部 部 署 工 作 完成 后 ， 实 现 省 公司 入 侵 检测 设备 的 统一 管理 及 监控 

地 市 各 供电 公司 : 部 署 绿 盟 科技 百 兆 入 侵 检测 设备 NIDS 200， 负 责 对 本 地 局 域 网 的 
安全 监控 管理 ， 包 括 与 省 公司 通信 口 、 重 要 服务 器 区 或 VLAN、 本 地 的 Internet 出 口 。 

在 省 公司 建立 入 侵 检测 系统 并 部 署 一 台 绿 盟 科技 千 兆 入 侵 检测 引擎 NIDS1600。 入 
侵 检 测 系统 设备 安装 在 系统 网 管 机 房 ， 负 责 本 省 范围 内 入 侵 检测 系统 的 安全 监控 管理 ， 
实现 全 网 统一 的 策略 定制 、 报 警 等 管理 功能 。 省 公司 局 域 网 入 侵 检测 系统 部 署 情 况 如 图 


186 


网 络 信息 安全 工程 原理 与 应 用 
7-7 所 示 。 
一 均衡 负载 交换 机 个 代理 服务 器 国家 电力 公司 
| 
TEN 省 政府 信息 网 
Internet 出 口 省 电力 本 部 
千 兆 IDS 1000M 各 楼 和 急用 户 
向 相关 电 
力 单位 
1000M 
主 交换 机 拨号 
用 户 
囊 坊 辣 服 务 器 群 To 司 区 提 和 
与 各 地 市 百 兆 IDS 人 的 数据 
一 IDS 中 心 相连 各 地 市 供电 公司 人 
中 天 控制 台 


图 7-7 省 公司 局 域 网 入 侵 检 测 系 统 部 署 结构 图 


在 地 市 公司 建立 本 地 入 侵 检测 系统 并 部 署 一 台 绿 盟 科 技 入 侵 检测 引擎 NIDS 200。 地 
市 公司 入 侵 检测 系统 在 省 公司 入 侵 检测 系统 的 管理 下 ， 实 现 对 本 地 入 侵 检测 系统 的 管理 
以 及 本 地 策略 定制 、 报 警 信息 上 传 等 功能 。 地 市 分 公司 入 侵 检 测 系统 部 署 结构 图 如 图 7-8 
所 示 。 


ND 其 他 应 用 接 入 夸 
上 联 省 = 


NIDS 探 测 器 


负责 监听 与 省 公司 
的 通信 线路 ， 也 可 
以 根据 本 地 情况 进 
行 相应 调整 


服务 器 区 


图 7-8 地 市 分 公司 入 侵 检测 系统 部 署 结构 图 


7.4.4 ”集中 部 署 管理 的 漏洞 扫描 系统 


安全 扫描 技术 与 防火 墙 、 入 侵 检测 系统 互相 配合 ， 能 够 有 效 提高 网 络 的 安全 性 。 通 
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过 对 网 络 的 扫描 ， 网 络 管理 员 可 以 了 解 网 络 的 安全 配置 和 运行 的 应 用 服务 ， 及 时 发 现 安 
全 漏洞 ， 客 观 评 估 网 络 风险 等 级 。 


1. 漏洞 扫描 系统 整体 应 用 功能 


端口 扫描 技术 和 漏洞 扫描 技术 是 网 络 安全 扫描 技术 中 的 两 种 核心 技术 ， 并 且 广 泛 运 
用 于 当前 较 成 熟 的 网 络 扫描 器 中 。 

(1) 端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 ， 并 记录 目标 主机 的 响 
应 ,通过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 , 就 可 以 得 知 端口 提供 的 服务 或 信息 。 
端口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 /流出 PP 数据 包 来 监视 本 地 主机 的 运 
行情 况 ， 它 仅 能 对 接收 到 的 数据 进行 分 析 ， 帮 助 我 们 发 现 目标 主 机 的 某 些 内 在 的 弱点 ， 
而 不 会 提供 进入 一 个 系统 的 详细 步骤 。 

(2) 漏洞 扫描 主要 通过 以 下 两 种 方法 来 检查 目标 主机 是 否 存在 漏洞 : 在 端口 扫描 后 
得 知 目标 主机 开启 的 端口 以 及 端口 上 的 网 络 服务 ， 将 这 些 相 关 信息 与 网 络 漏洞 扫描 系统 
提供 的 漏洞 库 进行 匹配 ， 查 看 是 否 有 满足 匹配 条 件 的 漏洞 存在 ;通过 模拟 黑客 的 攻击 手 
法 , 对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ， 如 测试 弱势 口令 等 。 若 模拟 攻击 成 功 ， 
则 表明 目标 主机 系统 存在 安全 漏洞 。 

能 够 检测 超过 1600 条 以 上 经 过 安全 专家 审定 的 重要 安全 漏洞 ， 涵 盖 各 种 主流 操作 系 
统 (Windows、UNIX 等 人 设备 路由器、 防火墙 等 ) 和 应 用 服务 (FTP、WWW、Telnet、 
SMTP 等 )。 


2. 漏洞 扫描 系统 实际 应 用 


辽宁 省 电力 有 限 公司 漏洞 扫描 系统 采用 的 是 绿 盟 科技 的 极光 远程 安全 评估 系统 
AURORA-200， 部 署 图 如 图 7-9 所 示 。 
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网 用 户 宅 住宅 用 宅 用 户 


7-9 ”辽宁 电力 信息 主干 网 络 漏洞 扫描 部 署 结构 图 
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通过 漏洞 扫描 系统 〈 极 光 远 程 安全 评估 系统 AURORA-200)， 能 过 对 辽宁 省 公司 及 
其 基层 单位 的 网 络 和 主机 检测 超过 1400 条 以 上 经 过 安全 专家 审定 的 重要 安全 漏洞 ,涵盖 
各 种 主流 操作 系统 (Windows、UNIX 等 )、 设备 (路 由 器 、 防 火 墙 等 ) 和 应 用 服务 (FTP、 
WWW、Telnet、SMTP 等 )。 


7.4.5 ”集中 部 署 统一 管理 的 网 络 流量 分 析 系 统 ( NTG ) 


GenieNTG 流量 分 析 仪 提供 了 用 户 上 网 行为 分 析 、 异 常 流量 实时 监测 、 历 史 流 量 分 
析 报 表 到 流量 趋势 预警 等 功能 ,涵盖 了 网 络 流量 分 析 的 所 有 细节 ， 可 以 通过 日 报 、 周报、 
月 报 的 标准 报表 、 对 照 报 表 、 趋 势 分 析 报表 等 多 种 格式 报告 流量 分 析 结 果 。 


1. 网 络 流量 分 析 系 统 NTG) 技术 原理 


NTG 是 台湾 威 豁 科技 股份 有 限 公司 的 一 款 硬件 产品 , 它 的 主要 功能 是 利用 接收 到 的 
NetFlow/sFlow 流量 数据 进行 流量 数据 分 析 。 

NetFlow 是 一 种 数据 交换 方式 ， 其 工作 原理 是 : NetFlow 利用 标准 的 交换 模式 处 理 
数据 流 的 第 一 个 IP 包 数 据 ， 生 成 NetFlow 缓存 ， 随 后 同样 的 数据 基于 缓存 信息 在 同一 
个 数据 流 中 进行 传输 ， 不 再 匹配 相关 的 访问 控制 等 策略 ，NetFlow 缓存 同时 包含 了 随后 
数据 流 的 统计 信息 。 

一 个 NetFlow 流 定义 为 在 一 个 源 IP 地 址 和 目的 IP 地 址 间 传输 的 单 向 数据 包 流 ， 且 
所 有 数据 包 具 有 共同 的 传输 层 源 、 目 的 端口 号 。 


2. 网 络 流量 分 析 系统 (NTG) 整体 功能 


(1) 流量 监控 

使 用 者 可 以 根据 网 络 的 具体 情况 定义 监控 参数 (Factor)， 并 可 以 通过 监控 参数 指定 
流量 的 来 源 和 目标 以 配置 监控 条 件 ， 并 可 通过 OR、NOT 等 逻辑 运算 组 合成 复合 条 件 
(Filter)。 系 统 将 依照 使 用 者 设 定 之 监控 条 件 过 滤 收 到 的 NetFlow 资料 ， 并 将 符合 监控 条 
件 的 统计 资料 存 入 内 建 的 数据 库 中 。 最 后 ， 系 统 便 可 以 从 数据 库 里 读 取 资 料 做 成 各 种 图 
表 (Report)。 

流量 监控 还 提供 了 二 级 的 阔 值 告警 机 制 ， 既 可 以 呈现 在 页 面 上 也 可 以 通过 SNMP 
trap 送 至 网 管 系统 的 告警 模块 。 

通过 对 网 络 中 一 些 特定 流量 的 长 期 监控 ， 将 有 助 于 网 管 人 员 了 解 网 络 的 流量 模型 ， 
形成 流量 的 基线 数据 。 进 行 一 些 重要 用 户 、 业 务 或 可 能 病毒 流量 的 长 期 实时 的 监测 ， 将 
会 对 网 络 的 优化 ， 以 及 业务 的 发 展 提供 流量 数据 的 来 源 。 

(2) 流量 分 析 

产品 可 开启 4 到 8 个 分 析 窗 口 ， 每 一 窗口 可 按照 3 种 分 析 模型 对 新 的 NetFlow 数据 
或 保存 在 GenieNTG 中 的 历史 数据 进行 TOPN 的 排名 分 析 。 

分 析 结 果 可 依据 流量 率 、 应 用 类 型 、 分 组 率 、 联 机 率 进 行 排序 ， 自 动 生成 长 条 图 和 
表格 ， 并 可 输出 成 CSV 文件 以 便 汇 总 运算 ， 结 果 的 图 形 数据 可 以 输出 成 PDF 文件 。 
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产品 内 建 一 套数 据 库 提供 历史 记录 (History Record) 的 储存 ， 当 使 用 者 停止 数据 分 
析 的 时 候 ， 系 统 会 将 所 有 排序 资料 新 建文 件 以 便 储存 ， 文 件 名 则 为 开启 此 监控 窗口 时 所 
设 定 的 名 称 并 附注 时 间 。 此 外 ， 系 统 具 有 目录 管理 功能 ， 方 便 使 用 者 查询 历史 记录 。 

通过 定期 地 对 网 络 中 一 些 重要 流量 进行 排名 的 分 析 ， 将 帮助 使 用 者 了 解 所 辖 网 络 中 
的 流入 流向 信息 ， 以 及 应 用 协议 的 分 布 状 况 ， 有 助 于 使 用 者 建立 自己 网 络 的 流量 模型 ， 
最 终 为 网 络 的 运 维 、 建 设 、 优 化 和 决策 支持 提供 服务 。 

(3) 实时 分 析 

实时 分 析 能 清楚 而 立即 地 呈现 被 设 定之 网 络 范围 内 瞬间 的 流量 状况 并 做 成 TOP N 
报表 。 用 户 可 依据 流量 来 源 和 目标 的 “AS 号 ”“IP 区 段 ”、“ 主 机 ”“ 应 用 端口 ”“ 网 
口 ”等 列表 或 监控 参数 配置 监控 范围 。 

对 监控 范围 内 的 流量 ， 用户 可 依据 来 源 或 目标 的 “AS 号 和 “IP 区 段 ^“ 应 用 端口 和 
“网 口 ” 实 时 计算 流量 分 布 ， 分 析 结 果 可 依据 流量 率 、 分 组 率 或 联机 率 进行 实时 的 排序 
分 析 。 

通过 对 网 络 内 实时 数据 的 排名 分 析 ， 有 助 于 使 用 者 及 时 地 发 现 网 络 中 异常 流量 
(DDoS， 蠕 虫 病毒 等 ) 的 源 和 目的 ， 以 及 流量 的 特性 ， 为 及 时 地 处 理 故障 提供 依据 。 


3. 网 络 流量 分 析 系 统 NTG) 实际 应 用 


辽宁 省 电力 有 限 公司 部 署 了 一 台 GenieNTG 流量 分 析 仪 NTG 流量 分 析 仪 对 整个 网 
络 进行 流量 监控 、 流 量 分 析 、 实 时 分 析 ， 提 供 了 用 户 上 网 行为 分 析 、 异 常 流量 实时 监测 、 
历史 流量 分 析 报 表 到 流量 趋势 预警 等 功能 ， 涵 盖 了 网 络 流量 分 析 的 所 有 细节 ， 可 以 通过 
日 报 、 周 报 、 月 报 的 标准 报表 、 对 照 报表 、 趋 势 分 析 报 表 等 多 种 格式 报告 流量 分 析 结果 。 


7.4.6 ”部署 PacketShaper 带宽 管理 系统 


不 可 预测 的 应 用 程序 性 能 会 影响 商务 运作 。 大 的 电子 邮件 、 对 等 下 载 和 网 络 浏览 都 
会 使 Oracle 或 SAP 这 样 担负 着 重要 任务 的 应 用 程序 陷入 瘫痪 。Packereer 公司 的 
PacketShaper 带宽 管理 系统 为 这 些 问题 的 解决 提供 方案 。 PacketShaper 是 一 种 带宽 管理 解 
决 方案 ， 它 可 以 使 广域网 或 互联 网 上 运行 的 应 用 程序 提高 运行 效率 。PacketShaper 可 以 
控制 网 络 表现 , 使 之 与 应 用 程序 的 特点 、 业 务 运作 的 要 求 以 及 用 户 的 需求 相 适 应 , 然后 ， 


1. PacketShaper 技术 原理 

PacketShaper 自动 根据 应 用 程序 的 种 类 、 子 网 、URL 和 其 他 信 流 特征 ， 将 网 络 信 息 
流 分 成 为 不 同 的 类 别 。PacketShaper 所 作 的 远 远 超 过 静态 地 对 端口 、IP 地 址 等 作 分 辨 ， 
而 是 以 OSI 网 络 模型 二 至 七 层 的 特征 为 基础 对 信息 进行 分 类 ， 对 如 SAP 和 Oracle 等 各 
种 应 用 程序 进行 精确 定位 。 
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2. PacketShaper 整体 功能 


PacketShaper 的 多 种 型 号 能 够 在 各 种 不 同 网 络 环境 中 实现 基于 应 用 程序 的 带宽 


(1) 带宽 设 定 : 最 小 保证 值 和 最 大 允许 值 。 

(2) 精确 选择 传输 速率 、 相 对 优先 权 及 绝对 优先 权 。 

(3) 可 以 针对 每 个 应 用 程序 、 用 户 、 用 户 组 别 或 以 上 组 合 来 设 定 带 宽 。 

(4) 可 针对 某 类 对 话 /信息 流 的 总 和 或 对 单个 对 话 /信息 流 设 定 带宽 。 

(5) 设 有 对 数据 包 的 Diffserv 标记 的 功能 ， 以 向 广域网 发 送 QoS 信号 。 

(6) TCP 速率 控制 。 

辽宁 省 电力 有 限 公 司 在 Intemet 出 口上 部 署 了 一 台 PacketShaper 6500， 实 现 基于 应 
用 程序 的 带宽 管理 ， 保 证 用 户 对 Intemet 的 访问 。 


第 8 章 网 络 信息 身份 认证 与 
授权 管理 系统 及 应 用 


网 络 信息 身份 认证 与 授权 管理 是 系统 应 用 层 安全 的 核心 问题 之 一 ，PKI 采用 电子 证 
书 的 形式 管理 公 钥 ， 通 过 CA 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 〈 如 名 称 、 身 份 证 号 
码 、E-mail 地 址 等 ) 捆绑 在 一 起 ， 实 现 用 户 身份 的 验证 ， PMI 通过 对 主体 访问 权限 的 设 
置 和 维护 ， 来 阻止 对 计算 机 系统 和 资源 的 非 授 权 访问 ， 确 保 只 有 适当 的 人 员 才 能 获得 适 
当 的 服务 和 数据 。 

本 章 介绍 PKI-CA/PMI 基本 概念 及 工作 原理 ， 系 统 结构 及 系统 技术 特点 ， 论 述 
PKI-CA/PMI 在 网 络 安全 中 的 作用 、PKI 与 PMI 主要 区 别 和 联系 及 基于 PKI-CA/PMI 的 
应 用 系统 升级 改造 实施 方法 。 同 时 ， 介 绍 辽 宁 电 力 组 织 实施 PKI-CA/PMI 身份 认证 与 授 
权 管 理 系统 建设 与 应 用 情况 。 


8.1 信息 网 络 PKI-CA 身份 认证 系统 


本 节 介 绍 PKI-CA 基本 概念 及 工作 原理 ， 系 统 结构 及 系统 技术 特点 ， 论 述 PKI 在 网 
络 安全 中 的 作用 和 基于 证 书 的 应 用 系统 升级 改造 实施 情况 。 


8.1.1 PKI-CA 基本 概念 


PKI 是 Public Key Infrastructure 的 缩写 ， 提 供 公 钥 加 密 和 数字 签名 服务 的 综合 系统 ， 
通常 译 为 公 钥 基 础 设施 。PKI 是 使 用 公 钥 〈 公 开 密 钥 ) 理论 和 技术 建立 的 提供 安全 认证 
服务 的 基础 设施 。 按 照 X.509 标准 中 定义 ，“ 是 一 个 包括 硬件 、 软 件 、 人 员 、 策 略 和 规 
程 的 集合 ， 用 来 实现 基于 公 钥 密码 体制 的 密 钥 和 证 书 的 产生 、 管 理 、 存 储 、 分 发 和 撤销 
等 功能 。” 应 用 PKI 的 目的 是 管理 密 钥 并 通过 公 钥 算法 实现 用 户 身份 验证 。 

CA (Certificate Authority) 是 数字 证 书 认 证 中 心 的 简称 ， 是 指 发 放 、 管 理 、 废 除数 
字 证 书 的 机 构 。CA 的 作用 是 检查 证 书 持 有 者 身份 的 合法 性 ， 并 签发 证 书 〈 在 证 书 上 签 
字 )， 以 防 证 书 被 伪造 或 算 改 ， 以 及 对 证 书 和 密 钥 进行 管理 。 

PKI 从 技术 上 解决 了 网 络 通 信安 全 的 种 种 障碍 。CA 从 运营 、 管 理 、 规 范 、 法 律 、 
人 员 等 多 个 角度 解决 了 网 络 信任 问题 。 由 此 , 人 们 统称 为 “PKI-CA”。 从 总 体 构架 来 看 ， 
PKI-CA 主要 由 最 终 用 户 、 认 证 中 心 和 注册 机 构 组 成 。 

PKI 体系 结构 采用 电子 证 书 的 形式 管理 公 钥 ， 通 过 CA 把 用 户 的 公 钥 和 用 户 的 其 他 
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标识 信息 (如 名 称 、 身 份 证 号 码 、E-mail 地 址 等 ) 捆绑 在 一 起 ， 实 现 用 户 身份 的 验证 ; 
将 公 钥 密码 和 对 称 密码 结合 起 来 ， 通 过 网 络 和 计算 机 技术 实现 密 钥 的 自动 管理 ， 保 证 机 
密 数 据 的 保密 性 和 完整 性 ， 通 过 采用 PKI 体系 管理 密 钥 和 证 书 ， 可 以 建立 一 个 安全 的 网 
络 环境 ， 并 成 功 地 为 安全 相关 的 活动 实现 4 个 主要 安全 功能 。 

(1) 身份 认证 : 保证 在 信息 的 共享 和 交换 过 程 中 ， 参 与 者 的 真实 身份 。 

(2) 信息 的 保密 性 : 保证 信息 的 交换 过 程 中 ， 其 内 容 不 能 够 被 非 授权 者 阅读 。 

(3) 信息 的 完整 性 : 保证 信息 的 交换 过 程 中 ， 其 内 容 不 能 够 被 修改 。 

(4) 信息 的 不 可 否认 性 : 信息 的 发 出 者 无 法 否认 信息 是 自己 所 发 出 的 。 


8.1.2 ”PKI-CA 系统 工作 原理 


PKI-CA 电子 证 书 认证 系统 通过 挂 接 密 钥 管理 中 心 (KMC ) 来 管理 用 户 的 解密 密 钥 ， 
从 而 提高 了 用 户 解 密 密 钥 的 安全 性 和 可 恢复 性 。 通 过 支持 证 书 模 板 ， 提 高 了 签发 各 种 类 
型 证 书 的 灵活 性 。 

PKI-CA 电子 证 书 认证 系统 支持 可 用 密 钥 的 选择 和 虚拟 CA, 用 户 可 以 在 一 套 系统 中 
采用 不 同 的 密 钥 来 签发 不 同类 型 的 证 书 。PKI-CA 电子 证 书 认证 系统 具有 为 用 户 签发 双 
证 书 的 功能 ,可 以 很 方便 地 同 其 他 CA 建立 交叉 认证 。 在 证 书 的 审核 方面 PKI-CA 电子 
证 书 认证 系统 支持 多 级 审核 ， 用 户 可 以 建立 多 级 审核 机 构 来 完成 对 申请 的 审核 。 此 外 
PKI-CA 还 支持 在 线 证 书 状 态 查 询 ， 支 持 多 种 加 密 设备 和 多 种 数据 库 平台 。 

PKI-CA 电子 证 书 认证 系统 是 用 于 数字 证 书 的 申请 、 审 核 、 签 发 、 注 销 、 更 新 、 查 
询 的 综合 管理 系统 。PKI-CA 应 用 国际 先进 技术 ， 拥 有 高 强度 的 加 密 算法 ， 高 可 靠 性 的 
安全 机 制 及 完善 的 管理 及 配置 策略 。 提 供 自动 的 密 铀 和 证 书 管理 服务 。 


8.1.3 PKLCA 系统 结构 


PKI-CA 由 签发 系统 、 注 册 系 统 、 证 书 发 布 系统 、 密 钥 管 理 中 心 、 在 线 证 书 状 态 查询 
系统 5 个 部 分 组 成 。PKI-CA 的 系统 结构 如 图 8-1 所 示 。 


1， 签发 系统 


(1) 签发 服务 器 : 签发 系统 的 核心 。 负 责 签发 和 管理 证 书 CRL， 并 负责 管理 CA 的 
签字 密 钥 以 及 一 般 用 户 的 加 密 密 钥 对 。 

(2) 系统 管理 终端 : 签发 服务 器 的 客户 端 。 以 界面 的 方式 向 签发 服务 器 发 送 系 统 配 
置 和 系统 管理 请 求 ， 完 成 签发 系统 的 配置 管理 功能 。 

(3) 业务 管理 终端 : 签发 服务 器 的 客户 端 。 以 界面 的 方式 向 签发 服务 器 发 送 系 统 配 
置 和 业务 管理 请 求 ， 完 成 签发 系统 的 配置 和 业务 管理 功能 。 

(4) 审计 终端 : 签发 服务 器 的 客户 端 ， 可 配置 。 以 界面 的 方式 向 签发 服务 器 发 送 日 
志 查 询 和 日 志 统 计 请 求 ， 以 便 对 签发 系统 的 日 志 进行 审计 。 

(5) 配置 向 导 : 生成 签发 服务 器 运行 所 必需 的 配置 文件 。 
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图 8-1 PKI-CA 系统 结构 图 


2， 注册 系统 


(1) 注册 服务 器 : 是 注册 系统 的 核心 部 分 。 负 责 审核 用 户 ， 用 户 申请 信息 的 录入 ， 
接收 签发 服务 器 的 返回 信息 并 通知 用 户 。 

(2) RA 系统 管理 终端 : 注册 服务 器 的 客户 端 。 以 界面 的 方式 向 注册 服务 器 发 送 系统 
配置 和 系统 管理 请 求 ， 完 成 注册 系统 的 配置 管理 功能 。 

(3) RA 业务 管理 终端 : 注册 服务 器 的 客户 端 。 以 界面 的 方式 向 注册 服务 器 发 送 系 统 
配置 和 业务 管理 请 求 ， 完 成 注册 系统 的 配置 和 业务 管理 功能 。 

(4) RA 业务 处 理 终 端 : ”注册 服务 器 的 客户 端 。 主 要 负责 处 理 日 常 证 书 业务 ， 可 面 
对 面 地 处 理 用 户 的 证 书 申 请 、 注 销 、 恢 复 、 更 新 以 及 证 书 授权 码 发 放 等 证 书 业务 。 

(5) RA 审计 终端 : 注册 服务 器 的 客户 端 ， 可 配置 。 以 界面 的 方式 向 注册 服务 器 发 送 
日 志 查询 和 日 志 统计 请 求 ， 以 便 对 注册 系统 的 日 志 进行 审计 。 

(6) 注册 服务 器 配置 向 导 : 生成 注册 服务 器 运行 所 必需 的 配置 文件 。 


3. 密 钥 管理 中 心 
(1) 密 钥 管理 中 心服 务 器 : 是 密 钥 管理 中 心 的 核心 部 分 。 为 签发 系统 的 签发 服务 器 


提供 密 钥 管理 服务 ， 为 密 钥 管 理 中 心 管理 终端 提供 系统 配置 和 管理 服务 。 
〈2) 密 钥 管 理 中 心 管理 终端 : 密 钥 管理 中 心服 务 器 的 客户 端 。 以 界面 的 方式 实现 KMC 
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服务 器 的 系统 配置 、 管 理 和 审计 功能 。 
(3) 密 钥 管理 中 心 提供 的 对 外 接口 。 
4. 证 书 发 布 系统 


mn 


(1) 收发 服务 器 : 是 证 书 发 布 系统 的 核心 部 分 。 以 Web 方式 (B-S 模式 ) 与 Intemet 
户 交互 ， 用 于 处 理 在 线 证 书 业 务 ， 方 便 用 户 对 证 书 进行 申请 、 下 载 、 查 询 、 注 销 、 恢 
复 等 操作 。 


(2) 制 证 终端 : 收发 服务 器 的 客户 端 。 向 收发 服务 器 发 送 请 求 ， 用 于 为 客户 发 放 证 
书 ， 以 及 密 钥 恢复 。 
S. 在 线 证 书 状态 查询 系统 


(1) 在 线 证 书 查询 服务 器 : 是 向 外 提供 在 线 证 书 状 态 查 询 的 服务 系统 。 通 过 访问 服 
务 器 用 户 可 以 实时 查询 与 访问 服务 器 相 绑 定 的 CA 颁发 的 证 书 的 状态 。 


(2) OCSPAPI: 本 接口 是 在 PKI-CA 在 线 证 书 协议 需求 基础 之 上 建立 的 ， 为 用 户 提 
供 一 个 广泛 的 、 独 立 的 接口 。 
6. PKI-CA 软件 结构 


PKI-CA 系统 软件 结构 图 如 图 8-2 所 示 。 


图 8-2 PKI-CA 系统 软件 结构 图 


8.1.4 ”PKI-CA 系统 技术 特点 


PKI-CA 系统 是 灵活 的 、 易 用 的 、 可 扩展 的 、 可 互 操作 的 认证 系统 软件 ， 它 提供 强 
大 的 安全 特征 和 多 重 策略 支持 ， 使 用 户 建立 的 PKI 安全 体系 能 支持 大 量 的 应 用 。 


体系 结构 的 设计 保证 了 用 户 能 按照 适合 其 组 织 的 方式 建设 PKI 安全 体系 。CA 作为 
构建 安全 体系 的 基石 ， 它 能 


它 能 使 用 户 已 建立 的 PKI 安全 体系 不 断 满足 日 渐变 化 的 需求 ， 如 
支持 新 应 用 、 增 加 用 户 、 与 合作 伙伴 进行 互 操作 、 改 变 自己 的 基础 设施 等 。 

1. 完全 基于 PKI 标准 

PKI 上 


“公开 密 钥 体系 ”， 是 一 种 遵循 既定 标准 的 密 钥 管理 平台 ， 它 是 


台 ， 它 是 为 所 有 网 络 
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应 用 提供 加 密 和 数字 签名 等 密码 服务 的 一 种 密 钥 和 证 书 管理 体系 ， 简 单 来 说 ，PKI 就 是 
利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 。PKI 技术 是 信息 安全 技术 的 核 
心 ， 也 是 电子 商务 、 电 子 政务 的 关键 和 基础 技术 。 

PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签名 等 安全 服务 。CA 是 证 书 的 签 
发 机 构 ， 它 是 PKI 的 核心 。 


2. 功能 完备 


(1) 基本 证 书 业 务 。 

(2) 支持 多 级 CA。 

(3) 支持 虚拟 CA*。 

(4) 支持 证 书 模板 *。 

(5) 支持 双 证 书 *。 

(6) 支持 汉字 证 书 *。 

(7) 支持 交叉 认证 。 

(8) 支持 密 钥 管理 中 心 (KMC ) *。 

(9) 支持 OCSP〔 在 线 证 书 状态 查询 ) *。 


3. 安全 性 


(1) 通信 安全 : 采用 SPKM 安全 通信 协议 。 

(2) 数据 安全 : 数据 库 、 配 置 文件 加 密 ; 提供 集中 的 数据 校 验 、 备 份 及 恢复 的 手段 。 

(3) 人 员 安全 : 主 用 户 采用 M of N 验证 机 制 ， 管 理 员 采用 双 证 书 进行 身份 验证 。 

(4) 主机 安全 : 分 布 式 权限 管理 ， 管 理 员 间 权限 分 离 ， 某 一 管理 员 只 管理 某 一 部 分 
功能 并 受 其 他 管理 员 监 督 ， 可 接受 主机 列表 控制 。 

(5) 完善 的 审计 手段 ， 系统 提供 对 每 一 步 操作 及 运行 状态 的 记录 和 查询 手段 。 

(6) 提供 安全 的 证 书 归档 及 备份 功能 。 


4. 兼容 性 


(1) 支持 多 种 操作 系统 : Windows、UNIX。 

(2) 支持 多 种 加 密 设备 ， 软 加 密 库 、 加 密 机 等 。 

(3) 支持 多 种 数据 库 : Oracle、SQL Server。 

(4) 支持 多 种 证 书 存储 介质 : IC 卡 、 文 件 、USB 设备 。 


5. 灵活 性 


(1) 灵活 的 证 书 登记 和 授权 码 发 送 方法 : Web、 面 对 面 登记 ，E-mail 和 打印 方法 发 
放 授权 码 。 

(2) 灵活 的 加 密 算法 : RSA、DSA、DES、3-DES、CAST5、IDEA 等 。 

(3) 灵活 的 系统 配置 。 

(4) KMC 具有 可 配置 性 。 
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(5) 目录 服务 器 具有 可 配置 性 。 

(6) OCSP 具有 可 配置 性 。 

(7) 注册 系统 具有 可 配置 性 。 

(8) 灵活 的 证 书 种 类 : 个 人 证 书 、 企 业 证 书 、 站 点 证 书 、 代 码 签名 证 书 。 


6. 互 操作 性 


PKI-CA 在 设计 和 开发 过 程 中 完全 遵循 国际 开放 标准 ， 所 选择 的 加 密 模 块 也 符合 开放 
标准 。 因 此 它 能 够 很 方便 地 与 第 三 方 产品 进行 集成 、 与 其 他 系统 互 操作 。 


7. 可 扩展 性 


作为 建立 信用 的 支撑 平台 ，PKI 系统 必须 具有 可 扩展 功能 ， 随 组 织 的 发 展 而 发 展 ， 
同时 ， 能 够 满足 不 断 呈 现 的 各 类 需求 ， 实 现 与 各 类 应 用 系统 的 整合 和 扩展 。PKI-CA 在 
设计 时 充分 考虑 了 以 上 现实 情况 。 

(1) 模块 化 设计 ， 可 蔡 换 、 可 重组 的 系统 构架 ， 支 持 与 其 他 应 用 系统 互 操 作 。 

(2) 分 布 式 、 可 拆 装 的 系统 模块 。 

(3) 所 有 系统 中 只 有 核心 服务 器 承担 着 真正 的 运行 与 管理 任务 ， 其 他 模块 可 随 组 织 
的 发 展 需要 逐步 挂 接 到 系统 中 。 

(4) 通过 提供 API 接口 的 手段 为 用 户 提供 二 次 开发 能 力 。 

(5) 支持 虚拟 CA: PKI-CA 在 设计 的 初期 就 考虑 到 了 虚拟 CA 及 以 后 的 扩展 功能 ， 
将 虚拟 CA 集成 到 本 系统 中 。JIT CA 的 用 户 可 以 直接 享受 到 虚拟 CA 带 来 的 好 处 。 

(6) 支持 多 级 CA 及 交叉 认证 : 组 织 可 根据 需要 建立 无 限制 多 级 的 CA， 并 通过 交 
叉 认 证 与 外 界 建立 广泛 的 联系 。 

(7) 支持 多 级 RA 及 多 级 审核 。 

(8) 系统 支持 多 级 RA， 组 织 可 根据 自身 的 特性 建立 不 同 的 RA 级 别 。 

(9) 支持 不 同 的 审核 路 线 及 策略 。 


8.1.5 ”PKI-CA 系统 主要 功能 


1. 签发 系统 是 PKI-CA 的 核心 部 分 ， 负 责 证 书 和 CRL 的 签发 和 管理 


签发 服务 器 : 是 电子 证 书 认 证 系统 中 核心 的 核心 ， 拥 有 最 高 的 安全 级 别 ， 负 责 所 有 
证 书 的 签发 和 注销 ， 具 有 下 列 功能 。 

(1) 签发 证 书 及 CRL 主 用 户 的 管理 

Q@ CA 自身 根 钥 的 管理 。 

@ 首席 安全 官员 的 管理 。 

@ 日 志 功 能 。 

@ 数据 库 管理 。 

@ 目录 服务 管理 。 
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@ 自身 的 配置 和 管理 。 

(2) 系统 管理 终端 

签发 服务 器 的 客户 端 。 以 界面 的 方式 向 签发 服务 器 发 送 系统 配置 和 系统 管理 请 求 ， 
完成 签发 系统 的 配置 管理 功能 。 

G@O 签发 服务 器 端 服务 的 启动 和 停止 。 

@ 签发 服务 器 系统 配置 。 

@ 高 安全 级 别 的 系统 管理 任务 。 

@ 虚拟 CA 管理 。 

@@ 数据 库 管 理 。 

本 地 的 基本 配置 。 

@ 本 地 日 志 管 理 。 

主 用 户 身份 验证 。 

(3) 业务 管理 终端 

签发 服务 器 的 客户 端 。 以 界面 的 方式 向 签发 服务 器 发 送 系统 配置 和 业务 管理 请 求 ， 
完成 签发 系统 的 配置 和 业务 管理 功能 。 

Q@ CA 配置 管理 。 

@ 权限 管理 。 

@ 证 书 模板 管理 。 

@ 证 书 管理 。 

@@ 本 地 日 志 管 理 。 

(4) 系统 审计 终端 

签发 服务 器 的 客户 端 ， 可 配置 。 以 界面 的 方式 向 签发 服务 器 发 送 日 志 查 询 和 日 志 统 
计 请 求 ， 以 便 对 签发 系统 的 日 志 进 行 审 计 。 

负责 对 签发 系统 的 操作 历史 和 现状 进行 及 时 监 查 和 审计 。 

Q@ 系统 菜单 。 

@ 日 志 菜单 。 

@ 配置 。 

@ 切换 。 

@@ 安全 。 

@ 窗口 。 

@ 签发 系统 密 钥 管理 。 

CA 证 书 密 钥 。 

@ SPKM 证 书 密 钥 。 

@@ 管理 员 证 书 密 钥 。 

寺 用 户 证 书 密 钥 。 

时 数据 库 加 密 密 钥 。 

手 主 密 钥 。 
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2. 注册 系统 : RA 注册 服务 器 的 主要 功能 


(1) 证 书 申 请 。 

(2) 证 书 注销 。 

(3) 注销 证 书 恢复 。 

(4) 证 书 更 新 。 

(5) 证 书 模板 。 

(6) 权限 管理 。 

(7) 安全 通信 。 

(8) 注册 服务 器 采用 SPKM 协议 和 客户 端 及 上 级 进行 通信 。 
(9) 导出 安全 通信 证 书 的 申请 书 。 
(10) 导入 安全 通信 证 书 。 

(11》 导 出 ****** 文 件 。 

(12) 配置 管理 。 

(13) 系统 管理 。 

(14) 启动 服务 。 

(15) 停止 服务 。 

(16) 数据 库 备 份 。 

(17) 数据 库 恢复 。 

(18) 更 新 数据 库 加 密 密 钥 。 
(19) 更 新 系统 密 钥 。 


3. RA 系统 管理 终端 


(1) RA 服务 器 端 服务 的 启动 和 停止。 
(2) 安全 。 

(3) 任命 首席 官员 。 

(4) 导出 ****** 文 件 。 
(5) 导出 通信 证 书 申请 书 。 
(6) 导入 安全 通信 证 书 。 
(7) 主 用 户 管理 。 

(8) 数据 库 管 理 。 

(9) 数据 库 备份 。 

(10) 数据 库 恢复 。 

(11) 数据 库 密 钥 更 新 。 
(12) 日 志 归 档 。 

(13) 本 地 的 基本 配置 。 
(14) 本 地 日 志 管 理 。 
(15) 日 志 查 询 。 
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(16) 日 志 归 档 。 
(17) 日 志 打印 。 
(18) 日 志 视图 : 一 般 列表 ， 详 细 列表 。 


4. RA 业务 管理 终端 的 主要 功能 


(1) 系统 配置 : 包括 通信 配置 、 安 全 配置 、 伺 服 参数 配置 、 数 据 库 配 置 和 最 大 日 志 
数 配 置 。 

(2) 证 书 模 板 管理 。 

(3) 更 新 证 书 模 板 。 

(4) 修改 证 书 模板 的 审核 方式 。 

(5) 权限 模板 管理 。 

(6) 新 建 权限 模板 。 

(7) 修改 权限 模板 信息 。 

(8) 删除 权限 模板 。 

(9) 终端 管理 员 管理 。 

(10) 新 建 管理 员 。 

(11) 修改 管理 员 信息 。 

(12) 删除 管理 员 。 

(13) 下 级 RA 管理 。 

(14) 新 建 下 级 RA。 

(15) 修改 下 级 RA 信息 。 

(16) 删除 下 级 RA。 

(17) 日 志 管理 。 


5. RA 业务 处 理 终端 的 主要 功能 


(1) 设置 系统 配置 。 
(2) 恢复 默认 配置 。 
(3) 更 改 管理 员 口 令 。 
(4) 查看 系统 状态 。 
(5) 证 书 申请 。 

(6) 证 书 注销 。 

(7) 注销 证 书 的 恢复 。 
(8) 更 新 证 书 。 

(9) 日 志 管 理 。 


6. 审计 终端 


功能 同 签发 系统 审计 终端 。 但 配置 不 同 。 
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7. 密 钥 管 理 中 心 : 密 钥 管理 中 心服 务 器 


命令 行 服务 功能 在 KMC 服务 器 中 以 命令 行 参数 的 形式 提供 ， 在 执行 这 些 功能 时 ， 
将 停止 一 切 远程 服务 。 

(1) 通信 证 书 配置 管理 。 

(2) 重新 产生 密 钥 管 理 中 心服 务 器 申请 书 。 

(3) 导入 KMC 证 书 的 颁发 者 CA 的 证 书 链 。 

(4) 数据 库 管 理 。 

(5) 数据 库 备份 。 

(6) 数据 库 恢 复 。 

(7) 重新 加 密 数 据 库 。 

(8) 验证 数据 库 签名 验证 数据 库 的 完整 性 )。 

(9) 备份 归档 表 ， 同 时 清空 归档 表 。 

(10) 系统 管理 。 

(11) 建立 管理 员 。 

(12) 为 用 户 产 生 KMC 配置 文件 。 

(13) 更 改 主 用 户口 令 。 

(14) 查看 数据 表 中 密 钥 信息 。 

(15) 产生 密 钥 。 

(16) 启动 KMC 但 不 自动 产生 密 钥 。 

远程 应 用 服务 主要 是 为 登录 用 户 (Authority 用 户 ) 提供 的 服务 功能 ， 登 录用 户 在 注 
册 完 毕 后 可 以 通过 KMC API 来 调用 相应 的 服务 。 

(1) 申请 新 密 钥 。 

(2) 更 新 用 户 密 钥 。 

(3) 恢复 用 户 密 钥 。 

(4) 获取 密 钥 历史 。 

(5) 更 新 密 钥 状态 。 

(6) 修改 用 于 保护 加 密 证 书 私 钥 的 口令 。 

(7) 远程 管理 服务 。 

(8) 配置 管理 。 

(9) 远程 通信 配置 。 

(10) 远程 更 新 数据 库 配置 。 

(11) 远程 更 新 CA 证 书 链 。 

(12) 用 户 管理 。 

(13) 增加 登录 用 户 。 

(14) 修改 登录 用 户 。 

统计 服务 是 指 将 提取 的 密 钥 按照 密 钥 类 型 做 数量 上 的 统计 。 密 钥 管理 中 心 KMC 
Server 的 管理 员 能 够 根据 用 户 的 需求 调整 KMC Server 预 产 生 密 钥 的 数量 等 系统 参数 。 
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(1) 密 钥 管理 

(2) 密 钥 归档 。 

(3) 司法 取证 。 

(4) 托管 密 钥 查询 。 

(5) 归档 密 钥 查询 。 

(6) 审计 功能 。 

(7) 系统 日 志 查 询 。 

(8) 提取 系统 日 志 。 

(9) 公用 服务 。 

公用 服务 是 任何 一 个 能 够 登录 KMC Server 的 用 户 都 可 以 调用 的 服务 。 公 用 服务 可 
以 通过 TKMC API 来 调用 。 

(1) 取得 KMC 版 本 。 

(2) 提取 KMC Server 支持 的 密 钥 类 型 。 


8.， 密 钥 管理 中 心 管理 终端 


密 钥 管理 中 心 管理 终端 是 密 钥 管理 中 心 负责 管理 和 审计 的 终端 ， 它 由 主 用 户 管理 。 
对 KMC Server 系统 配置 、 登 录用 户 和 用 户 的 密 钥 进行 管理 

(1) 系统 功能 : 登录 、 注 销 、 退 出 。 

(2) 配置 管理 ;通信 配置 、 数 据 库 配 置 、 设 置 锁 屏 时 间 、 取 KMC Server 的 密 钥 
类 型 。 

(3) 系统 管理 : 增加 登录 用 户 、 查 询 登 录用 户 、 注 销 登录 用 户 、 恢 复 登 录用 户 、 统 
计 用 户 密 钥 、 查 询 归 档 密 钥 信息 、 查 询 托管 密 钥 、 司 法 取证 、 密 钥 恢 复 、 密 钥 注 销 、 查 
询 系统 日 志 。 

(4) 安全 管理 : 更 新 主 用 户口 令 、 更 新 KMC Server 证 书 链 、 密 钥 归 档 。 


8.1.6 PKI 在 网 络 安全 中 的 作用 


建立 公 钥 基础 设施 的 目的 是 管理 密 钥 和 证 书 。 通 过 PKI 对 密 钥 和 证 书 的 管理 ， 一 个 
组 织 可 以 建立 并 维护 可 信赖 的 网 络 环境 。PKI 使 加 密 和 数字 签名 服务 得 到 广泛 的 应 用 。 

就 商业 上 实现 有 效 的 公 钥 基础 设施 而 言 ， 存 在 许多 需求 。 首 先 ， 如 果 用 户 不 能 从 应 
用 中 的 加 密 和 数字 签名 中 获得 益处 ， 那 么 PKI 是 没有 价值 的 。 因 而 ， 对 PKI 最 重要 的 约 
束 是 透明 性 。 透 明 性 意味 着 用 户 不 必 知 道 PKI 是 如 果 管 理 密 钥 和 证 书 的 ， 只 从 加 密 和 数 
字 签 名 中 获得 益处 就 足够 了 。 一 个 有 效 的 PKI 是 透明 的 。 


8.2 ”信息 网 络 PMI 安全 授权 管理 系统 


本 节 介 绍 PMI 基本 概念 、 工 作 原 理 及 系统 结构 ， 论 述 PMI 在 应 用 安全 中 的 作用 和 
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基于 PMI 技术 的 授权 管理 模式 的 主要 特点 。 说 明 PKI 与 PMI 的 主要 区 别 和 联系 。 
8.2.1 PMI 基本 概念 


属性 证 书 、 属 性 权威 、 属 性 证 书库 等 部 件 构成 的 综合 系统 ， 用 来 实现 属性 证 书 的 产 
生 、 管 理 、 存 储 、 分 发 和 撤销 等 功能 ， 称 为 权限 管理 基础 设施 ， 简 称 PMI (Privilege 
Management Infrastructure ) 。 

PMI (授权 管理 基础 设施 ) 是 X.509v4 中 提出 的 授权 模型 ， 它 建立 在 PKI ( 公 钥 管 
理 基 础 设施 ) 提供 的 可 信 身 份 认 证 服务 的 基础 上 。X.509v4 中 建议 基于 属性 证 书 AC 
(Attribute Certificate) 实现 其 授权 管理 。PMI 向 用 户 发 放 属 性 证 书 ， 提 供 授 权 管理 服务 ; 
PMI 将 对 资源 的 访问 控制 权 统 一 交 由 授权 机 构 进行 管理 ，PMI 可 将 访问 控制 机 制 从 具体 
应 用 系统 的 开发 和 管理 中 分 离 出 来 ， 使 访问 控制 机 制 与 应 用 系统 之 间 能 灵活 而 方便 地 结 
合 和 使 用 ， 从 而 可 以 提供 与 实际 处 理 模 式 相 应 的 、 与 具体 应 用 系统 开发 和 管理 无 关 的 授 
权 和 访问 控制 机 制 。 

建立 在 PKI 基础 上 的 授权 管理 基础 设施 (PMI) 是 信息 安全 基础 设施 的 一 个 重要 组 
成 部 分 ， 其 目标 是 向 用 户 和 应 用 程序 提供 授权 管理 服务 ， 提 供用 户 身 份 到 应 用 授权 的 映 
射 功能 ， 提 供与 实际 应 用 处 理 模 式 相 应 的 、 与 具体 应 用 系统 开发 管理 无 关 的 授权 和 访问 
控制 机 制 ， 简 化 具体 应 用 系统 的 开发 与 维护 ， 并 减少 管理 成 本 ， 降 低 管理 复杂 度 ， 提 高 
系统 整体 安全 级 别 。 


8.2.2 ”PMI 系统 工作 原理 


PMI 体系 是 计算 机 软 硬 件 、 权 限 管理 机 构 及 应 用 系统 的 结合 ， 它 为 访问 控制 应 用 提 
供 权 限 和 角色 服务 。PMI 是 基于 “属性 证 书 ” 的 系统 ， 类 似 于 用 户 的 “电子 签证 ”， 即 
可 以 通过 属性 证 书 作 为 识别 用 户 权 限 和 资质 的 依据 。 基 于 属性 证 书 的 授权 管理 示意 图 如 
图 8-3 所 示 。 
PMI 使 用 属性 证 书 表示 和 容纳 权限 信息 ， 通 过 管理 证 书 的 生命 周期 实现 对 权限 生命 
周期 的 管理 。 属 性 证 书 的 申请 、 签 发 、 发 布 、 注 销 、 验 证 过 程 对 应 着 传统 的 权限 申请 、 
产生 、 存 储 、 撤 销 和 使 用 的 过 程 。 

使 用 属性 证 书 进行 权限 管理 ， 使 得 权限 的 管理 和 具体 的 应 用 分 离 ， 同 一 种 权限 可 以 
在 多 个 受信 任 的 应 用 中 使 用 ， 利 于 支持 分 布 式 环境 下 的 更 为 安全 的 访问 控制 应 用 。 分 布 
式 授 权 模型 的 应 用 模式 如 图 8-4 所 示 。 


8.2.3 ”PMI 系统 结构 


PMI 由 授权 和 访问 控制 策略 、 权 限 管理 系统 、 权 限 发 布 系统 、 访 问 控制 支持 系统 4 
个 部 分 组 成 。 
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图 8-4 分布 式 授权 模型 的 应 用 模式 示意 图 


1， 授 权 和 访问 控制 策略 


访问 控制 和 授权 策略 展示 了 一 个 机 构 在 信息 安全 和 授权 方面 的 顶层 控制 ， 授 权 遵循 
的 原则 和 具体 的 授权 信息 。 在 一 个 机 构 的 PMI 应 用 中 ， 策 略 应 当 包括 一 个 机 构 如 何 将 它 
的 人 员 和 数据 进行 分 类 组 织 ， 这 种 组 织 方式 必须 考虑 到 具体 应 用 的 实际 运行 环境 ， 如 数 
据 的 敏感 性 ， 人 员 权 限 的 明确 划分 ， 以 及 必须 和 相应 人 员 层次 相 匹配 的 管理 层次 等 因素 。 
所 以 ， 策 略 的 制定 是 需要 根据 具体 的 应 用 量 身 定做 的 。 

具体 说 ， 策 略 包含 着 应 用 系统 中 的 所 有 用 户 和 资源 信息 以 及 用 户 和 信息 的 组 织 管理 
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方式 ; 用 户 和 资源 之 间 的 权限 关系 ; 保证 安全 的 管理 授权 约束 ; 保证 系统 安全 的 其 他 
约束 。 


2. 权限 管理 系统 


属性 证 书 实施 说 明 : PMI 系统 的 认证 机 构 需 要 一 个 称 为 “属性 证 书 实施 说 明 ”(Attribute 
Certification Practice Statements，ACPS) 的 文件 对 相关 操作 过 程 及 策略 进行 说 明 ， 主 要 
包括 授权 安全 策略 在 实践 中 怎样 被 加 强 和 支持 。 

属性 证 书 : 对 于 一 个 实体 进行 权限 绑 定 是 由 一 个 被 数字 签名 了 的 数据 结构 来 提供 
的 ， 这 种 数据 结构 称 为 属性 证 书 。 属 性 证 书 的 功能 如 下 。 

(1) 将 用 户 或 实体 的 标识 与 角色 《〈 权 限 /属性 ) 绑 定 。 

(2) 能 被 分 发 和 存储 在 非 安 全 的 分 布 式 环境 中 。 

(3) 与 身份 证 书 配合 使 用 。 

(4) 必要 时 ， 通 过 发 行 证 书 撤销 表 ， 确 保证 书 能 被 撤销 。 

属性 证 书 的 签发 模块 : 最 终 负 责 给 用 户 分 配 具体 的 权限 /角色 ， 并 将 属性 证 书 发 布 到 
权限 发 布 系统 。 

属性 证 书 的 申请 模块 : 为 权限 管理 者 提供 了 一 个 界面 ， 它 负责 获取 权限 申请 信息 ， 
并 把 申请 提交 给 签发 模块 。 


3， 权限 发 布 系统 


签发 的 数字 属性 证 书 主要 通过 目录 服务 的 方式 进行 发 布 ， 尽 管 可 以 通过 用 户 自 定义 
的 手段 。 使 用 目录 权限 发 布 系统 的 优点 在 于 ， 可 以 为 各 种 形式 的 系统 提供 一 致 和 标准 的 
权限 发 布 及 获取 服务 ， 为 所 有 应 用 系统 提供 统一 的 权限 接口 。 


4. 访问 控制 支持 系统 


如 果 使 用 属性 证 书 没有 给 安全 应 用 在 权限 管理 和 访问 控制 上 带 来 设计 、 实施 、 管理 、 
审计 、 总 体 安全 的 改善 和 提高 ，PMI 技术 便 没有 得 到 实质 上 的 应 用 ， 也 不 会 改变 访问 控 
制 实施 复杂 的 情况 。 访 问 控制 支持 系统 能 够 方便 地 将 属性 证 书 和 具体 的 应 用 集成 起 来 ， 
极 大 地 简化 了 属性 证 书 的 应 用 和 访问 控制 系统 的 设计 、 实 施 和 管理 。 


8.2.4 基于 PMI 技术 的 授权 管理 模式 的 主要 特点 


应 用 PKI 的 目的 是 管理 密 钥 并 通过 公 钥 算法 实现 用 户 身份 认证 ， 在 实际 访问 控制 应 
用 中 ， 存 在 一 些 问题 : 如 ， 用 户 数目 很 大 时 ， 通 过 身份 验证 仅 可 以 确定 用 户 身 份 ， 但 却 
不 能 区 分 出 每 个 人 的 用 户 权限 。 这 就 是 PKI 新 扩展 产生 的 一 个 原因 。 

另外 ， 传 统 的 应 用 系统 通常 是 通过 使 用 用 户 名 和 口令 的 方式 来 实现 对 用 户 的 访问 控 
制 的 ， 而 对 权限 的 控制 是 每 个 应 用 系统 分 别 进行 的 ， 不 同 的 应 用 系统 分 别针 对 保护 的 资 
源 进行 权限 的 管理 和 控制 ， 在 应 用 系统 较 多 、 环 境 复杂 时 ， 这 样 会 带 来 许多 问题 ， 如 要 
为 同一 个 在 不 同 的 应 用 系统 中 开设 用 户 ， 并 为 其 授权 以 便 控制 对 资源 的 访问 ， 各 个 应 用 系 
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统 的 授权 方式 不 同 ， 安 全 强度 也 不 同 ， 这 给 使 用 、 安 全 、 维 护 带 来 各 种 各 样 的 问题 。 在 
这 样 复杂 的 应 用 权限 控制 环境 下 ， 有 一 个 点 上 出 现 了 问题 整个 应 用 系统 就 有 可 能 变 成 不 
安全 的 了 ， 而 这 样 复杂 的 环境 仅 赁 系统 管理 员 进 行人 员 维护 ， 其 工作 量 是 可 想 而 知 的 ， 
出 错 的 可 能 将 非常 得 大 。 

而 且 ， 权 限 信息 相对 于 身份 信息 来 说 容易 改变 ， 维 护 授权 信息 代价 相对 维护 身份 信 
息 要 高 得 多 。 同 时 ， 又 因为 不 同系 统 的 设计 和 实施 策略 不 同 ， 导 致 了 同一 机 构 内 存在 多 
种 权限 管理 的 现状 。 总 之 ， 基 于 PMI 技术 的 授权 管理 模式 与 传统 的 同 应 用 密切 捆绑 的 授 
权 管理 模式 相 比 主 要 存在 以 下 3 个 方面 的 特点 。 


1. 授权 管理 的 灵活 性 


基于 PMI 技术 的 授权 管理 模式 可 以 通过 属性 证 书 的 有 效 期 以 及 委托 授权 机 制 来 灵 
活 地 进行 授权 管理 ， 从 而 实现 了 传统 的 访问 控制 技术 领域 中 的 强制 访问 控制 模式 与 自主 
访问 控制 模式 的 有 机 结合 ， 其 灵活 性 是 传统 的 授权 管理 模式 所 无 法 比拟 的 。 

与 传统 的 授权 管理 模式 相 比 ， 采 用 属性 证 书 机 制 的 授权 管理 技术 对 授权 管理 信息 提 
供 了 更 多 的 保护 功能 ， 而 与 直接 采用 公 钥 证 书 的 授权 管理 技术 相 比 ， 则 进一步 增加 了 授 
权 管 理 机 制 的 灵活 性 ， 并 保持 了 信任 服务 体系 的 相对 稳定 性 。 


2. 授权 操作 与 业务 操作 相 分 离 


基于 授权 服务 体系 的 授权 管理 模式 将 业务 管理 工作 与 授权 管理 工作 完全 分 离 ， 更 加 
明确 了 业务 管理 员 和 安全 管理 员 之 间 的 职责 分 工 ， 可 以 有 效 地 避免 由 于 业务 管理 人 员 参 
与 到 授权 管理 活动 中 而 可 能 带 来 的 一 些 问题 。 

基于 PMI 技术 的 授权 管理 模式 还 可 以 通过 属性 证 书 的 审核 机 制 来 提供 对 操作 授权 
过 程 的 审核 ， 进 一 步 加 强 了 授权 管理 的 可 信 度 。 


3. 多 授权 模型 的 灵活 支持 


基于 PMI 技术 的 授权 管理 模式 将 整个 授权 管理 体系 从 应 用 系统 中 分 离 出 来 , 授权 管 
理 模 块 自身 的 维护 和 更 新 操作 将 与 具体 的 应 用 系统 无 关 ， 因 此 ， 可 以 在 不 影响 原 有 应 用 
系统 正常 运行 的 前 提 下 ， 实 现 对 多 授权 模型 的 支持 。 

在 PKI 得 到 较 大 规模 应 用 以 后 ， 人 们 已 经 认识 到 需要 超越 当前 PKI 提供 的 身份 验 
证 、 机 密 性 、 完 整 性 和 不 可 否认 性 ， 步 入 到 授权 验证 的 领域 ， 提 供 信息 环境 的 权限 管理 
将 成 为 下 一 个 主要 目标 。 


8.2.5 ”PMI 在 应 用 安全 中 的 作用 


建立 PMI 的 目的 是 管理 权限 的 生存 周期 ， 通 过 PMI 对 证 书 和 权限 的 管理 ， 可 以 为 
应 用 系统 建立 一 个 高 安全 强度 ， 更 易 维护 管理 ， 扩 展 能 力 极 强 的 访问 控制 环境 ， 提 供 可 
以 不 断 延 伸 和 标准 化 的 授权 平台 。 

PMI 实际 提出 了 一 个 新 的 信息 保护 基础 设施 ， 能 够 与 PKI 和 目录 服务 紧密 地 集成 ， 
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并 系统 地 对 用 户 进行 授权 ， 对 权限 管理 进行 了 系统 的 定义 和 描述 ， 完 整地 提供 了 授权 服 
务 所 需 的 过 程 。 

建立 在 PKI 基础 上 的 PMI， 以 向 用 户 和 应 用 程序 提供 权限 管理 和 授权 服务 为 目标 
主要 负责 向 访问 控制 应 用 提供 权限 服务 ， 提 供用 户 身 份 到 应 用 角色 /权限 的 映射 功能 。 实 
现 与 具体 应 用 系统 开发 无 关 的 权限 管理 模式 ， 极 大 地 简化 应 用 系统 中 权限 管理 的 开发 与 
维护 。 更 为 重要 的 是 ，PMI 为 应 用 提供 一 致 和 标准 的 权限 服务 ， 强 有 力 地 支持 与 应 用 的 
集成 ， 使 用 户 建 立 的 访问 控制 体系 能 支持 大 量 的 用 户 和 访问 控制 应 用 ， 并 能 够 有 效 地 控 
制 管理 的 复杂 性 ， 可 以 根据 应 用 的 发 展 随时 在 体系 中 加 入 新 的 访问 控制 应 用 。 


8.2.6 PKI 与 PMI 的 主要 区 别 和 联系 


PMI 授权 管理 基础 设施 需要 PKI 公 钥 基础 设施 为 其 提供 身份 认证 服务 。PKI 和 PMI 
之 间 的 主要 区 别 在 于 : PMI 主要 进行 授权 管理 ， 证 明 这 个 用 户 有 什么 权限 ， 能 干什么 ， 
即 “ 你 能 做 什么 ”为 各 类 应 用 提供 相对 独立 的 授权 管理 ， 并 且 各 类 应 用 相互 之 间 的 权限 
资源 独立 ，PKI 主要 进行 身份 鉴别 ， 证 明 用 户 身份 ， 即 “你 是 谁 ” 并 且 由 各 类 应 用 共同 
信任 的 有 关机 构 提 供 统一 管理 。 它 们 之 间 的 关系 类 似 于 护照 和 签证 的 关系 。 护 照 是 身份 
证 明 ， 唯 一 标识 个 人 信息 ， 只 有 持 有 护照 才能 证 明 你 是 一 个 合法 的 人 。 签 证 具有 属性 类 
别 ， 持 有 哪 一 类 别 的 签证 才能 在 该 国家 进行 哪 一 类 的 活动 。 

授权 的 信息 可 以 放 在 身份 证 书 扩展 项 中 或 者 直接 使 用 属性 证 书 表示 ， 但 是 将 授权 信 
息 放 在 身份 证 书 中 是 很 不 方便 的 。 因为 ， 首先， 授权 信息 和 公 钥 实体 的 生存 期 往往 不 同 ， 
授权 信息 放 在 身份 证 书 扩展 项 中 导致 的 结果 是 缩短 了 身份 证 书 的 生存 期 ， 而 身份 证 书 的 
申请 审核 签发 是 代价 较 高 的 ， 其 次 ， 对 授权 信息 来 说 ， 身 份 证 书 的 签发 者 通常 不 是 业务 
资源 的 拥有 者 ， 也 就 是 不 具有 权威 性 ， 这 就 导致 身份 证 书 的 签发 者 必须 使 用 其 他 的 方式 
从 权威 源 (资源 的 拥有 者 ) 获得 授权 证 明 信 息 。 此 外 ， 授 权 发 布 要 比 身份 发 布 频繁 的 多 ， 
对 于 同一 个 实体 可 由 不 同 的 属性 权威 来 颁发 属性 证 书 ， 即 ， 一 个 人 有 一 张 身 份 证 书 但 可 
以 有 多 张 属性 证 书 。 

因此 ， 一 般 使 用 属性 证 书 来 容纳 授权 信息 ， 即 PKI 可 用 于 认证 属性 证 书 中 的 实体 和 
所 有 者 身份 ， 并 鉴别 属性 证 书签 发 权威 AA 的 身份 。 

PMI 和 PKI 有 很 多 相似 的 概念 ， 如 属性 证 书 与 公 钥 证 书 ， 属 性 权威 与 认证 权威 等 ， 
相关 术语 的 比较 如 表 8-1 所 示 。 


表 8-1 PMI 和 了 PKI 系统 功能 比较 表 


PMI 实体 
属性 证 书 
属性 权威 
持 有 者 


主体 名 和 公 钥 绑 定 持 有 者 名 和 权限 绑 定 
证 书 撤销 列表 (CRL) 属性 证 书 撤销 列表 (ACRL) 


根 CA/ 信 任 锚 权威 源 (SOA) 
EE 属性 权威 AA 
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(1) 公 钥 证 书 是 对 用 户 名 称 和 他 /她 的 公 钥 进 行 绑 定 ， 而 属性 证 书 是 将 用 户 名 称 与 一 
个 或 更 多 的 权限 属性 进行 绑 定 。 在 这 个 方面 ， 公 钥 证 书 可 被 看 为 特殊 的 属性 证 书 。 

(2) 数字 签名 公 钥 证 书 的 实体 被 称 为 CA， 签 名 属性 证 书 的 实体 被 称 为 AA。 

(3) PKI 信任 源 有 时 被 称 为 根 CA， 而 PMI 信任 源 被 称 为 SOA。 

(4) CA 可 以 有 它们 信任 的 次 级 CA， 次 级 CA 可 以 代理 鉴别 和 认证 ，SOA 可 以 将 它 
们 的 权利 授 给 次 级 AA。 

如 果 用 户 需要 废除 他 /她 的 签字 密 钥 ， 则 CA 将 签发 证 书 撤销 列表 。 与 之 类 似 ， 如 果 
用 户 需要 废除 授权 ，AA 将 签发 一 个 属性 证 书 撤销 列表 。 


8.3 ”信息 网 络 身份 认证 与 授权 管理 系统 应 用 实例 


为 保证 辽宁 电力 系统 的 信息 安全 ， 完 成 国家 “十 五 ”重大 科技 攻关 项 目 一 一 电力 系 
统 信息 安全 应 用 示范 工程 ， 推 进 辽 宁 省 电力 公司 信息 化 建设 的 进程 ， 辽 宁 省 电力 有 限 公 
司 与 吉大 正 元 公司 合作 ， 从 2002 年 一 2004 年 全 面 组 织 PKI-CA/PMI 身份 认证 与 授权 管 
理 系统 项 目的 建设 ， 对 于 保障 辽宁 省 电力 有 限 公 司 应 用 安全 将 起 到 重要 的 作用 。 


8.3.1 辽宁 电力 PKI-CA 系统 的 建设 与 应 用 


根据 辽宁 省 电力 公司 的 实际 情况 ， 辽 宁 省 电力 公司 PKI-CA 认证 系统 本 着 分 步 建设 
的 原则 ， 在 辽宁 省 电力 有 限 公司 初步 建立 认证 体系 基本 架构 ， 并 在 此 基础 上 进行 相关 应 
用 的 安全 建设 。 将 来 随 着 应 用 安全 需求 的 增长 再 进行 认证 系统 的 进一步 扩展 建设 。 辽 宁 
电力 PKI-CA 系统 一 期 工作 ， 在 几 个 月 的 建设 中 ， 完 成 PKI-CA 系统 的 认证 系统 建设 ， 
以 及 屏蔽 环境 建设 等 ， 并 在 相应 的 邮件 系统 ， NOTES 办 公 系 统 ， 综 合 数据 库 查询 系统 中 
实现 利用 数字 进行 安全 认证 、 安 全 传输 。 

辽宁 省 电力 公司 PKI 是 一 个 企业 内 部 的 信息 安全 基础 设施 ， 其 建设 的 总 体 目标 是 : 
建立 全 网 统一 的 认证 与 授权 机 制 ， 确 保 信 息 在 产生 、 存 储 、 传 输 和 处 理 过 程 中 的 保密 、 
完整 、 抗 抵赖 和 可 用 ;将 全 公司 的 信息 系统 用 户 纳入 到 统一 的 用 户 管理 体系 中 ;提高 应 
用 系统 的 安全 强度 和 应 用 水 平 。 


1. 辽宁 电力 PKI-CA 认证 系统 设计 原则 及 主要 内 容 


(1) 建设 技术 先进 、 安 全 性 能 高 的 身份 认证 体系 (PKI，Public Key Infrastructure )， 
即 在 省 公司 建立 一 个 KM ( 密 钥 管理 ) 中 心 、CA 【证书 认证 ) 中 心 、RA (注册 审核 ) 
中 心 和 分 发 中 心 (信息 发 布 )， 并 分 别 部 署 在 3 个 不 同 的 安全 域内 。 每 个 安全 域 之 间 使 用 
防火 墙 、 入 侵 检测 系统 进行 安全 隔离 。 为 了 保证 辽宁 电力 PKI-CA 认证 系统 的 安全 性 、 
可 靠 性 、 高 效 性 、 可 扩展 性 ， 辽 宁 电 力 CA 中 心 设计 为 单 层 结构 。 在 将 来 国家 电力 网 的 
CA 系统 建立 后 , 可 平滑 地 连接 到 国家 电力 公司 根 CA 上 ,成 为 整个 国家 电力 行业 PKI-CA 
认证 系统 的 省 级 认证 体系 。 
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(2) 建立 完善 的 目录 服务 体系 ， 即 全 省 建立 一 套 LDAP 体系 。 在 省 公司 建立 一 个 主 
LDAP 服务 器 和 从 LDAP 服务 器 ， 以 及 OCSP 服务 器 ， 存 放 全 省 所 有 的 证 书 和 废除 证 书 
列表 。 并 实现 证 书 的 查询 及 CRL 的 发 布 。 

(3) 建立 完善 可 靠 的 安全 应 用 支撑 体系 ， 即 向 全 省 的 电力 应 用 系统 提供 密码 服务 
(加 密 、 解 密 、 签 名 、 验 签 、OCSP 等 服务 )。 

(4) 在 认证 系统 建立 的 基础 上 应 用 PKI 技术 对 现 有 的 应 用 系统 进行 安全 改造 建设 ， 
对 现 有 邮件 系统 、NOTES 办 公 系 统 等 进行 相应 的 安全 改造 ， 实 现 利 用 PKI-CA 系统 来 保 
障 应 用 系统 安全 。 从 而 在 整个 辽宁 省 电力 系统 建立 起 完整 的 认证 体系 ， 为 辽宁 电力 的 信 
息 化 建设 提供 安全 基础 保障 。 


2. 辽宁 电力 PKI-CA 认证 系统 层次 规划 


根据 辽宁 省 电力 公司 信息 安全 项 目 对 CA 中 心 和 密 钥 管理 中 心 的 需求 ， 系 统 总 体 的 
建设 如 下 。 

第 一 级 为 辽宁 电力 CA 中 心 和 密 钥 管 理 中 心 。 其 中 CA 中 心 是 辽宁 省 电力 PKI-CA 
认证 系统 的 信任 源头 ， 实 现在 线 签发 用 户 证 书 、 管 理 证 书 和 CRL、 提 供 密 钥 管理 服务 、 
提供 证 书 状 态 查询 服务 等 功能 ， 密 钥 管理 中 心 负责 加 密 密 钥 的 产生 、 备 份 ， 并 提供 已 备 
份 密 钥 的 司法 取证 。 

第 二 级 为 注册 中 心 (RA 中心 )。 省 公司 设立 一 个 RA 中 心 ， 完 成 接受 用 户 申 请 、 审 
核 、 证 书 制作 等 功能 ， 以 满足 省 公司 用 户 的 证 书 业 务 需求 。 

第 三 级 是 最 终 用 户 ， 可 通过 RA 中 心 、 远 程 受理 中 心 进 行 证 书 申 请 、 撤 销 申 请 等 相 
关 证 书 服务 。 


3， 辽宁 电力 PKI-CA 认证 系统 总 体 安全 体系 


根据 辽宁 省 电力 公司 的 情况 ， 本 期 认证 系统 建设 将 认证 系统 布置 在 其 省 公司 的 服务 
器 集群 网 络 中 ， 共 用 其 已 有 的 物理 、 网 络 等 相关 安全 保护 设备 及 设施 ， 从 而 在 达到 满足 
安全 需求 的 前 提 下 ， 实 现 认证 系统 的 安全 建设 。 标 准 认 证 系统 的 整个 安全 体系 由 下 面 的 
结构 组 成 。 

除 上 面 的 安全 体系 结构 之 外 ， 还 要 考虑 灾难 恢复 的 问题 ， 即 当 出 现 影响 系统 安全 运 
行 的 情况 之 后 ， 应 该 迅速 作出 反应 ， 在 尽 可 能 短 的 时 间 里 恢复 系统 的 运行 。 标 准 认证 系 
统 的 整个 安全 体系 结构 图 如 图 8-5 所 示 。 

(1) 物理 安全 和 环境 安全 建设 

CA 系统 的 物理 安全 和 环境 安全 是 整个 系统 安全 的 基础 ， 要 把 CA 系统 的 危险 减 至 
最 低 限度 ， 需 要 选择 适当 的 设施 和 位 置 ， 同 时 要 充分 考虑 水 灾 、 地 震 、 电 磁 干 扰 与 辐射 、 
犯罪 活动 以 及 工业 事故 等 的 威胁 。 

物理 隔离 : 由 于 CA 安全 的 需要 ， 从 网 络 上 将 划分 非 军事 区 、 操 作 区 、 中 心安 全 区 。 
因此 ， 在 辽宁 电力 PKI-CA 系统 的 物理 建设 中 ， 按 此 来 划分 不 同 的 物理 功能 区 对 其 进行 
分 隔 管理 。 每 道门 是 一 道 屏障 ， 如 锁 着 的 门 或 关闭 的 大 门 ， 它 可 以 对 个 人 的 进入 提供 强 
制 性 的 控制 ， 并 且 每 个 人 要 进入 下 一 个 区 域 ， 必 须 作 出 积极 的 反应 《例如 ， 刷 智能 卡 、 
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输 密 码 等 )。 


环境 安全 
物理 安全 


网 络 安全 
主机 系统 安全 


CA (KM) 产品 安全 


人 员 管 理 安全 


| “操作 安全 规则 


安全 策略 


图 8-5 标准 认证 系统 的 整个 安全 体系 结构 图 


物理 访问 控制 :每 个 进入 CA 物理 环境 的 人 都 需要 预先 得 到 授权 ， 作 为 物理 访问 控 
制 的 一 部 分 ， 所 有 人 员 被 分 成 具体 的 授权 组 。 授 权 组 主要 根据 进入 者 自身 在 系统 中 承担 
的 角色 来 确定 。 根 据 每 个 人 所 属 的 授权 组 ， 确 定 此 人 有 权 访问 的 地 区 《区 域 》 和 每 天 允 
许 访问 的 时 间 。 身 份 识别 卡 《〈 可 以 与 密码 输入 一 体 化 ) 和 生物 识别 都 是 访问 控制 系统 识 
别 个 人 所 属 授权 组 的 方法 的 例子 。 

当 进 入 者 向 卡 机 出 示 其 身份 识别 卡 时 ， 读 卡 机 从 这 个 卡 上 读 出 与 访问 控制 系统 所 保 
存 的 该 个 人 信息 相关 的 信息 (例如 ， 系 列 序号 )。 访 问 控制 系统 决定 该 个 人 是 否 被 授权 进 
入 特定 区 域 或 地 区 。 访 问 控 制 系统 只 能 够 跟踪 其 信息 保存 在 系统 数据 库 中 。 

物理 安全 加 固 : CA 系统 中 涉及 微型 计算 和 主机 、LAN 服务 器 等 资源 的 房间 ， 必 须 
进行 严格 的 管理 ， 对 这 些 部 门 的 访问 要 严格 控制 ， 要 求 经 过 授权 并 进行 监控 。 

具体 的 实施 方案 如 下 。 

Q@ 整个 CA 系统 的 各 个 房间 之 间 要 利用 隔 墙 进行 保护 , 防止 通过 天 花 板 下 面 的 假 平 
顶 进 入 。 

@ 中 心安 装 防盗 门 ， 防 止 窃 贼 播 门 而 入 。 

@ 在 有 人 操作 期 间 双 层 门 由 出 入 卡 系统 进行 控制 ; 在 无 人 操作 期 间 ， 外 层 门 要 加 


锁 保护 。 

@ 在 CA 系统 工作 室 安装 电子 出 入 控制 (监控 ) 系统 、 防 侵入 系统 、 机 械 组 合 锁 等 
装置 。 

@ CA 系统 中 的 服务 器 、 密 钥 管理 设备 采用 专用 屏蔽 室 ， 以 防止 电磁 干扰 ， 增 加 系 
统 的 安全 性 。 


@ 按照 防火 管制 的 要 求 ， 尽 量 减少 出 入 口 数量 。 
墙壁 和 地 板 : 敏感 区 域 的 墙壁 必须 加 固 ， 并 且 需 要 进行 防 辐射 处 理 ， 地 板 需 要 铺设 
防 静 电 材 料 。 
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执行 连续 操作 的 所 有 硬件 设备 ， 配 备 空调 系统 、 冷 却 设备 以 及 照明 系统 等 ， 同 时 还 
要 考虑 应 急 环境 设施 。 

为 CA 系统 提供 支持 的 公用 设施 、 管 线 等 均 通过 地 下 进入 大 楼 或 采用 其 他 措施 加 以 
保护 。 

对 支持 CA 系统 的 服务 设施 ， 如 配 电 盘 、 通 信和 与 电话 间 、 通 风 以 及 空调 系统 都 要 采 
取 严 格 的 保护 措施 ， 首 先 加 锁 保 护 ， 同 时 要 限制 人 员 的 随意 进入 。 

CA 系统 的 电气 系统 应 符合 电子 数据 处 理 设备 的 防火 标准 、 组 织 政策 、 职 业 安全 与 
保健 法 等 。 主 要 包括 以 下 几 个 方面 。 

@ 电源 电缆 。 

@ 铺设 于 通风 和 地 板 下 的 电缆 。 

@ 变压器 。 

@ 机 房 设 备 的 断 电 装置 。 

@@ 不 间断 电源 系统 (UPS)， 及 电池 装置 。 

@ 位 于 不 同 防火 区 的 设备 和 UPS 之 间 的 导电 器 。 

@ 机 房 应 急 照 明 设备 。 

@ 所 有 设备 的 电源 系统 应 该 与 厂商 技术 规范 保持 一 致 ， 必 要 时 配备 净化 电源 ， 以 
保证 电源 的 性 能 。 

(2) 网 络 安全 设计 

网 络 安全 性 设计 的 目标 是 保证 网 络 安全 可 靠 的 运行 ， 从 网 络 拓扑 结构 、 网 络 安全 区 
域 的 划分 、 防 火 墙 系统 的 设置 等 各 个 方面 的 设计 中 防范 来 自 网 络 的 攻击 并 加 强 对 内 部 的 
安全 管理 。 

CA 中 心 的 网 络 结构 : 在 CA 中 心里 签发 服务 系统 既 要 为 用 户 签发 证 书 ， 又 要 支持 
用 户 对 CRL、CPS 等 的 查询 ， 并 且 很 多 工作 都 要 求实 时 完成 ， 这 样 CA 受 外 界 攻击 的 机 
会 最 多 ， 这 就 对 系统 的 网 络 安全 提出 了 很 高 的 要 求 。 在 辽宁 电力 PKI-CA 系统 设计 中 通 
过 网 络 划分 ， 综 合 运用 三 道 防火 墙 、 入 侵 检测 等 来 保障 CA 中 心 的 网 络 安全 。 

网 络 区 域 划分 : CA 系统 在 为 用 户 签发 证 书 ， 响 应 用 户 对 CRL、CPS 的 查询 都 是 在 
线 连接 实时 处 理 ， 所 以 在 网 络 系统 中 ， 将 把 整个 CA 中 心 网 络 划分 为 4 个 区 ， 并 在 各 区 
间 采 用 不 同 的 防火 墙 产品 进行 保护 。 这 些 区 分 别 如 下 所 示 。 

公共 区 : 在 CA 中 心 控制 范围 之 外 的 区 域 ， 这 里 主要 指 辽 宁 省 电力 专用 网 络 。 

非 军事 区 : 非 军 事 区 是 认证 中 心 为 客户 和 最 终 用 户 提供 服务 的 地 方 。 在 非 军事 区 中 
是 一 个 高 可 用 性 的 目录 服务 器 ， 配 置 成 映射 目录 。 非 军事 区 是 用 路 由 器 和 防火 墙 来 保护 
的 ， 通 过 对 它们 的 端口 进行 配置 ， 只 能 允许 进行 安全 策略 授权 的 通信 。 

非 军事 区 和 所 有 的 组 件 区 要 设置 在 一 个 安全 的 设施 之 中 ， 要 有 适当 的 物理 安全 、 人 
员 安全 和 操作 安全 。 系 统管 理 部 件 〈 代 理 、 引 擎 等 ) 可 以 安装 在 非 军事 区 ， 如 果 安 全 策 
略 允 许 。 这 些 部 件 是 可 选 的 。 

操作 区 : 操作 区 主要 是 对 CA 操作 人 员 进 行 限制 。 操 作 人 员 在 操作 区 执行 每 天 的 工 
作 ， 需 要 配置 运行 管理 工作 站 。 操 作 区 的 房间 应 该 是 高 度 安全 的 ， 使 用 监视 器 、 报 警 和 
访问 控制 系统 。 并 且 应 该 考虑 应 用 多 人 同时 工作 的 方式 〈 任 何 一 个 成 员 不 能 自己 在 房间 
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里 完成 一 项 操作 )。 

安全 区 : 安全 区 是 最 安全 的 房间 。CA 服务 器 、 主 目录 服务 器 和 密 钥 系统 都 存储 在 
安全 区 中 ， 安 全 区 的 房间 必须 具有 屏蔽 功能 ， 保 障 安全 区 内 软 硬 件 的 高 安全 性 。 

多 层次 防火 墙 保 护 : 防火 墙 保护 是 网 络 安全 性 设计 中 重要 的 一 环 ， 在 辽宁 电力 
PKI-CA 系统 中 采用 多 层次 的 防火 墙 保护 方案 提高 系统 安全 性 ， 即 限制 外 部 对 系统 的 非 
授权 访问 ， 也 限制 内 部 对 外 部 的 非 授 权 访问 ， 同 时 还 限制 内 部 系统 之 间 特 别 是 安全 级 别 
低 的 系统 对 安全 级 别 高 的 系统 的 非 授权 访问 。 

入 侵 检 测 : 在 采用 多 层 防 火 墙 技术 增加 系统 的 安全 性 的 同时 ， 还 使 用 了 入 侵 检测 系 
统 ， 入 侵 检测 系统 可 以 从 多 方面 对 网 络 系统 进行 监测 和 分 析 ， 能 够 及 时 发 现 入 侵 者 并 及 
时 报警 ， 同 时 还 能 够 采取 一 定 的 补救 措施 。 

入 侵 检测 系统 (Intrusion Detection System)， 从 计算 机 网 络 系统 中 的 关键 点 收集 信 
息 ， 并 分 析 这 些 信息 ， 检 查 网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 柳 击 的 迹象 。IDS 
主要 执行 如 下 任务 。 

Q@ 监视 、 分 析 用 户 及 系统 活动 。 

@ 系统 构造 变化 和 弱点 的 审计 。 

@ 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 

@ 异常 行为 模式 的 统计 分 析 。 

@@ 评估 重要 系统 和 数据 文件 的 完整 性 。 

@ 操作 系统 的 审计 跟踪 管理 ， 并 识别 用 户 违 反 安 全 策略 的 行为 。 

实现 以 下 功能 。 

@ 监视 用 户 和 系统 的 运行 状况 ， 查 找 非法 用 户 和 合法 用 户 的 越权 操作 。 

@ 检测 系统 配置 的 正确 性 和 安全 漏洞 ， 并 提示 管理 员 修 补漏 洞 。 

@ 对 用 户 的 非 正常 活动 进行 统计 分 析 ， 发 现 入 侵 行 为 的 规律 。 

@ 检查 系统 程序 和 数据 的 一 致 性 与 正确 性 。 如 计算 和 比较 文件 系统 的 校 验 和 能 够 
实时 对 检测 到 的 入 侵 行为 进行 反应 。 

在 本 系统 中 通过 入 侵 检 测 系统 来 收集 并 分 析 计 算 机 系统 和 网 络 中 的 关键 信息 ， 检 查 
系统 和 网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 

(3) 主机 安全 性 设计 

在 辽宁 电力 PKI-CA 系统 中 ， 关 键 服务 器 等 均 采用 HP 系统 主机 系统 ,HP 公司 的 企 
业 服 务 器 扩展 了 传统 网 络 服务 器 的 性 能 ， 采 用 了 一 些 过 去 只 有 在 大 型 主机 上 才 有 的 关键 
技术 , 将 多 处 理 器 性 能 、 系 统 容 量 和 外 设 的 连通 性 提高 到 一 个 新 的 层次 上 .。 此 外 HP 注重 
平衡 的 系统 性 能 ， 使 每 个 部 件 通 过 合理 化 的 设计 和 集成 ， 为 系统 提供 最 优 性 能 。 

HP 企业 服务 器 的 RAS 功能 在 安全 可 靠 性 方面 ， 提 供 了 很 好 的 可 靠 性 、 可 用 性 和 可 
维护 性 。 


4. 基于 证 书 的 应 用 系统 升级 改造 


辽宁 电力 信息 网 的 应 用 服务 环境 主要 是 由 信息 发 布 系统 、 电 子 邮件 系统 、 代 理 系 
统 、 应 用 服务 系统 、 用 户 管理 系统 、 数 据 库 服 务 器 组 成 ， 是 C/S 结构 与 B/S 结构 相 结合 


212 网 络 信息 安全 工程 原理 与 应 用 


的 应 用 体系 结构 ， 数 据 库 系 统 主 要 采用 Sybase 和 SQL Server。 主 要 应 用 系统 有 房改 、 计 
划 、 人 事 、 营 业 、 物 资 、 科 技 、 财 务 、 机 关 、 开 发 调试 、 综 合 数据 库 、 营 业 部 服务 器 等 
各 种 应 用 。 

(1) 应 用 系统 存在 的 主要 安全 问题 

现 有 应 用 系统 多 采用 “用 户 名 十 口令 ”的 机 制 来 对 企业 内 部 员工 和 外 部 客户 进行 
身份 认证 ， 这 种 方式 由 于 用 户 名 、 口 令 均 为 明文 传递 到 服务 器 ， 在 服务 器 端 进行 验证 ; 
用 户 的 信息 存放 在 服务 器 端 , 只 是 服务 器 验证 用 户 , 用户 对 服务 器 没有 进行 有 效 的 验证 。 
极 易 造成 用 户口 令 的 泄露 , 从 而 造成 系统 的 安全 漏洞 。 无 法 有 效 保障 其 运行 数据 的 安全 ， 
不 能 有 效 实现 对 相关 操作 的 抗 抵赖 。 同 时 还 能 看 到 以 往 的 各 种 应 用 系统 ， 由 于 各 成 一 套 
体系 ， 造 成 用 户 在 访问 不 同 应 用 系统 时 要 记忆 不 同 的 用 户 + 口令 ， 或 出 示 不 同 的 凭证 〈 如 
磁卡 )， 既 不 安全 又 不 方便 ， 大 大 制约 了 辽宁 省 电力 系统 信息 化 应 用 的 发 展 。 

(2) 办 公 自 动 化 系统 的 安全 改造 

辽宁 省 电力 有 限 公司 的 办 公 自 动 化 系统 是 Lotus Notes 5.06a 办 公 协 作 平台 ， 在 辽宁 
电力 PKI-CA 系统 建设 完成 后 ， 在 Notes 系统 中 能 够 使 用 自己 的 CA 系统 签发 的 高 密 钥 
强度 的 数字 证 书 ， 并 能 够 对 Notes 系统 中 的 表单 进行 加 密 和 签名 等 操作 。 

基于 Lotus Notes 系统 提供 的 口令 扩展 接口 、 管 理 扩展 接口 和 对 数字 证 书 的 支持 ， 在 
客户 端 提 供 了 登录 安全 和 文档 安全 两 个 插件 。 实 现 了 用 智能 卡 登 录 、 用 数字 证 书签 名 加 
密 文档 的 功能 ， 同 时 在 服务 器 端 对 数字 状态 进行 查询 ， 确 保证 书 的 有 效 性 。 

辽宁 电力 PKI-CA 系统 将 数字 证 书签 发 到 key 中 ， 由 信息 中 心 统一 管理 key 并 发 放 
到 辽宁 电力 的 办 公 自 动 化 注册 人 员 手 中 , 注册 人 员 把 key 连接 到 终端 计算 机 上 , 输入 key 
的 保护 口令 ， 就 能 够 登录 办 公 自 动 化 系统 的 客户 端 ， 并 对 编辑 的 文档 进行 加 密 和 签名 操 
作 ， 对 收 到 的 文档 进行 解密 和 验证 签名 操作 。 

(3) 安全 电子 邮件 系统 的 安全 改造 

辽宁 省 电力 有 限 公司 的 员工 邮件 客户 端 是 Microsoft Outlook Express， 在 辽宁 电力 
PKI-CA 系统 建设 完成 后 ， 在 邮件 系统 中 能 够 使 用 自己 的 CA 系统 签发 的 数字 证 书 ， 并 能 
够 对 邮件 进行 加 密 和 签名 等 操作 。 

安全 电子 邮件 一 一 S/MIME (Secure/ Multipurpose Internet Mail Extensions ) 是 Internet 
中 用 来 发 送 安 全 电子 邮件 的 协议 。S/MIME 为 电子 邮件 提供 了 数字 签名 和 加 密 功能 。 该 
标准 允许 不 同 的 电子 邮件 客户 程序 彼此 之 间 收 发 安全 电子 邮件 。 为 了 使 用 S/MIME， 您 
必须 使 用 支持 S/MIME 功能 的 电子 邮件 程序 ， 例 如 Outlook Express 4 或 以 上 版 本 。 

在 安全 邮件 应 用 中 用 户 证 书 存储 在 CA 中 心 签 发 的 key 中 联系 人 的 证 书 可 以 从 CA 
中 心 的 Web 服务 网 页 中 获得 ， 一 次 导入 Outlook Express 就 可 以 多 次 使 用 ， 方 便 快捷 ， 
使 用 简单 。 导 入 证 书 到 Outlook Express 中 后 就 可 以 利用 这 些 证 书签 名 电子 邮件 和 加 密 电 
子 邮件 。 

签名 一 个 电子 邮件 意味 着 ， 您 将 自己 的 数字 证 书 附加 到 电子 邮件 中 ， 接 收 方 就 可 以 
确定 您 是 谁 。 签 名 提供 了 验证 功能 可 以 保证 邮件 在 网 络 上 传输 过 程 中 没有 被 算 改 。 加 密 
电子 邮件 意味 着 只 有 指定 的 收 信 人 才能 够 看 到 信件 的 内 容 。 为 了 发 送 签 名 邮件 ， 您 必须 
有 自己 的 数字 证 书 。 为 了 加 密 邮 件 ， 您 必须 有 收 信人 的 数字 证 书 。 
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辽宁 电力 PKI-CA 系统 将 数字 证 书签 发 到 key 中 ， 由 信息 中 心 统一 管理 key 并 发 放 
到 辽宁 电力 的 电子 邮件 注册 人 员 和 手中， 注册 人 员 把 key 连接 到 终端 计算 机 上 ， 输 入 key 
的 保护 口令 ， 就 能 够 在 Microsoft Outlook Express 中 ， 对 编辑 的 邮件 进行 加 密 和 签名 操 
作 ， 对 收 到 的 邮件 进行 解密 和 验证 签名 操作 。 

(4) 应 用 系统 (B/S、C/S 结构 ) 的 安全 改造 

在 辽宁 省 电力 有 限 公司 内 部 信息 网 上 有 多 种 应 用 系统 (包括 B/S、C/S 结构 )， 一 直 
以 来 ， 人 们 登录 系统 普遍 都 采用 用 户 名 + 口令 的 方式 ， 即 在 用 户 登 录 时 输入 事先 设 定好 
的 用 户 名 和 与 之 相对 应 的 口令 ， 如 与 数据 库 中 的 记录 相 吻 合 则 可 成 功 登 录 ， 并 可 根据 数 
据 库 中 的 相关 记录 分 配 相应 的 用 户 权限 。 这 种 方式 具有 简单 方便 ， 易 于 使 用 的 优点 。 但 
也 存在 一 些 不 足 ， 如 用 户 姓 名 不 易 记 忆 ， 用 户 登录 的 有 效 期 不 易 控制 ， 用 户 的 用 户 名 ， 
用 户口 令 容 易 失 密 〈 包 括 用 户口 令 被 暴力 破解 、 用 户 登 录 口 令 被 窃取 )。 而 其 中 最 主要 的 
问题 就 是 用 户口 令 失 密 问 题 。 当 用 户口 令 失 密 时 又 不 易 察觉 。 容 易 造 成 严重 的 损失 。 在 
辽宁 电力 PKI-CA 系统 建设 完成 后 ， 在 这 些 应 用 系统 中 能 够 使 用 自己 的 CA 系统 签发 的 
数字 证 书 ， 对 访问 这 些 应 用 系统 的 人 员 进 行 身份 验证 和 权限 管理 。 

开发 了 相应 的 加 密 签名 控件 加 入 到 相应 的 应 用 系统 中 ， 使 得 应 用 系统 可 以 使 用 数字 
证 书 进行 登录 ， 员 工 在 访问 应 用 系统 时 ， 将 key 连接 到 终端 计算 机 上 ， 输 入 key 的 保护 
口令 ， 这 时 应 用 系统 就 能 够 根据 员工 所 使 用 的 数字 证 书 对 其 进行 身份 验证 并 判断 员工 所 
拥有 的 权限 ， 直 接 登 录 到 应 用 系统 中 进行 相应 的 操作 。 完 成 了 11 个 应 用 系统 安全 改造 。 


8.3.2 ”辽宁 电力 PMI 授权 管理 系统 的 建设 与 应 用 


在 完成 国家 “十 五 ”重大 科技 攻关 项 目 一 一 电力 系统 信息 安全 应 用 示范 工程 辽宁 电 
力 PKI-CA 身份 认证 系统 建设 之 后 ， 为 进一步 推进 辽宁 省 电力 公司 信息 化 建设 的 进程 ， 
辽宁 电力 公司 继续 与 吉大 正 元 公司 合作 ， 在 PKI-CA 安全 基础 设施 之 上 又 建设 了 以 PMI 
授权 管理 系统 为 基础 的 安全 支撑 平台 。 同 时 ， 还 建立 了 辽宁 电力 系统 的 电子 印章 系统 、 
时 间 惟 系统 和 网 站 防 自 改 系统 。 为 辽宁 电力 应 用 系统 提供 以 数字 证 书 为 核心 的 安全 保障 
服务 。 


1. 辽宁 电力 PMI 授权 管理 系统 的 建设 原则 及 主要 内 容 


(1) 对 原 有 PKI-CA 系统 进行 升级 扩容 。 即 除了 省 中 心 已 经 建设 完毕 的 CA( 证 书 认 
证 ) 系统 、RA〔 证 书 注册 〉 系统 、KM 〈 密 钥 管理 ) 中 心 以 外 ， 还 在 沈阳 、 大 连 、 锦 州 
三 地 供电 公司 建设 了 3 个 RA 中 心 。 通 过 省 中 心 和 3 个 RA 中 心 的 建设 ， 可 以 形成 覆盖 
全 省 电力 行业 的 证 书 发 放 体 系 ， 为 全 省 电力 应 用 提供 身份 认证 和 信息 加 密 服务 。 

(2) 建设 PMI 授权 管理 系统 。 在 PKI-CA 的 安全 认证 平台 基础 上 ， 通 过 属性 证 书 对 
用 户 权限 进行 管理 ， 可 以 为 应 用 系统 建立 一 个 高 安全 强度 ， 更 易 维 护 管理 ， 扩 展 能 力 极 
强 的 访问 控制 环境 ， 提 供 可 以 不 断 延 伸 和 标准 化 的 授权 平台 。 

(3) 建设 时 间 惟 系统 ， 为 辽宁 电力 应 用 系统 提供 精确 可 信 的 时 间 戳 服务， 为 业务 处 
理 的 不 可 抵赖 性 和 可 审计 性 提供 支持 。 
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(4) 建立 电子 印章 系统 ， 实 现 辽 宁 电力 传统 公章 的 电子 化 ， 为 发 展 无 纸 化 办 公 提 供 
基础 条 件 。 

(5) 基于 PKI 和 PMI 的 应 用 系统 安全 加 固 。 应 用 系统 安全 建设 主要 是 针对 辽宁 电力 
目前 的 应 用 系统 情况 ， 在 辽宁 电力 的 综合 查询 、PMIS、 人 力 资 源 、 信 息 发 布 、 科 技 管理 
等 系统 中 引入 PMI 权限 管理 功能 ， 实 现 这 些 业务 应 用 系统 的 安全 权限 分 配 、 管 理 及 控 
制 。 同 时 ， 在 NotesOA 系统 中 加 入 了 电子 印章 系统 ， 对 安全 电子 邮件 系统 进行 完善 ; 实 
现 相关 的 网 站 网 页 的 算 改 。 并 提供 相应 的 表单 签名 等 应 用 产品 ， 实 现在 相应 的 系统 中 对 
数字 签名 等 安全 功能 的 要 求 。 


2. 辽宁 电力 PKI-CA 系统 的 升级 和 扩建 


(1) 辽宁 电力 PKI-CA 认证 系统 升级 和 扩建 后 体系 结构 

辽宁 电力 PKI-CA 认证 系统 前 期 建设 已 建立 起 省 公司 的 认证 系统 主体 框架 ， 并 承担 
起 为 应 用 系统 提供 数字 证 书 及 认证 信息 等 相关 服务 ， 为 进一步 提高 辽宁 电力 PKI-CA 认 
证 系统 的 服务 范围 及 能 力 , 本 期 建设 中 将 在 省 电力 公司 所 辖 的 3 个 地 市 供电 公司 建立 RA 
中 心 ， 与 前 期 的 系统 形成 辽宁 电力 PKI-CA 认证 系统 的 完善 体系 ， 如 图 8-6 所 示 。 


图 8-6 辽宁 电力 PKI-CA 认证 系统 升级 和 扩建 后 体系 结构 


(2) 省 中 心 网 络 拓扑 

3 个 地 市 公司 的 RA 建设 主要 是 为 大 连 、 沈 阳 、 锦 州 供电 公司 。 对 于 未 建立 RA 中 
心 的 11 个 供电 公司 ， 也 可 通过 覆盖 全 省 的 电力 网 获得 相关 的 证 书 业务 服务 。 

因为 新 增 PMI 授权 管理 系统 和 原 PKI 身份 认证 系统 安全 级 别 相近 ， 为 避免 重复 投 
资 ， 新 增 PMI 授权 管理 系统 和 原 PKI 身份 认证 系统 共用 一 套 网 络 设备 。 省 中 心 网 络 拓扑 
如 图 8-7 所 示 。 

(3) 各 地 市 RA 中 心 建设 

RA 中 心 是 直接 面 对 用 户 提供 服务 的 系统 ， 在 辽宁 省 的 3 个 地 市 供电 公司 建立 RA 
中 心 ， 为 地 市 供电 公司 提供 证 书 的 申请 、 审 核 、 签 发 等 功能 ， 并 提供 数字 证 书信 息 的 查 
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询 服务 。 各 RA 中 心 利用 加 密 机 通过 电力 专 网 与 辽宁 省 电力 公司 PKI-CA 认证 系统 中 心 
的 RA 中 心 进行 安全 连接 通信 。 


沈阳 /大 连 华为 Ir1026 


13 个 供电 公司 机 RA 管理 
主 册 服务 器 (RA) ”数据 业务 / 制 证 终端 
两 绵 联想 网 御 
东软 网 眼 
i 了 上 
% 据 华为 Ir1026 
OMe 加 密 机 入 侵 检测 志 
骨 
ee ull 时 间 源 服务 器 联想 网 御 
(从 LDAP) sp 
地 [ma 华为 Ir1026 
操作 区 属性 活 由 权威 ) 
兴国 的 
知 理 终端 管理 终端 龙马 卫 上 
符 委 服 和 器 ere 客机 和 是 中 心 上 
安全 区 训 数 
AA 
二 目 基 服务器 加 密 机 可 ) 国 


8-7 辽宁 电力 PKI-CA/PMI 系统 网 络 结构 


各 地 市 供电 公司 RA 中 心 由 RA 服务 器 、 业 务 终端 〈 录 入 终端 、 审 核 终端 、 制 证 终 
端 ) 管理 终端 、 审 计 终端 组 成 。 其 中 RA 服务 部 署 在 一 台 服 务 器 上 ， 实 现 各 地 市 供电 公 
司 对 证 书 申请 、 审 核 管理 的 需求 ， 负 责 将 用 户 的 证 书 审核 通过 的 申请 信息 发 送 到 省 公司 
CA 中 心 的 RA 注册 服务 器 上 ， 其 相应 的 数据 由 利用 加 密 机 加 密 后 ， 经 电力 专 网 与 辽宁 
电力 省 公司 CA 中 心 进行 交换 传输 ; 业务 终端 、 管 理 终端 、 审 计 终端 分 别 安装 在 3 台 PC 
上 ， 其 权限 的 划分 是 靠 管理 员 的 证 书 来 区 分 的 ， 并 且 录 入 、 审 核 是 有 范围 限制 的 ， 不 能 
做 越权 操作 的 。 

为 保障 RA 中 心 的 安全 ，RA 中 心 通过 防火 墙 进行 安全 防护 ， 防 火 墙根 据 实际 需要 
只 开放 相应 的 端口 ， 并 制定 相应 的 控制 策略 ， 在 最 大 程度 上 保证 RA 中 心 的 安全 。 同 时 ， 
采用 电力 系统 已 有 各 种 防护 机 制 对 RA 中 心 进行 网 络 边界 的 防护 ， 保 证 RA 中 心 数据 信 
息 及 系统 的 安全 。RA 中 心 的 管理 终端 负责 对 RA 中 心 的 设备 进行 设置 管理 ，RA 中 心 的 
审计 终端 对 服务 器 的 操作 系统 日 志 、 防 火 墙 日 志 进 行 管理 、 审 计 、 存 储 。 

各 地 市 RA 中 心 的 证 书 业 务 受理 ， 主 要 实现 了 以 下 功能 : 收集 和 管理 各 地 市 供电 公 
司 人 员 的 信息 ; 录入 证 书 申请 者 身份 信息 ; 初步 审核 与 提交 员工 身份 信息 ; 下 载 数字 证 
书 并 制 证 ， 发 放 数字 证 书 : 沈阳、 大 连 和 锦州 RA 已 经 建设 完毕 ， 并 按照 产品 测试 大 纲 
进行 了 测试 。 目 前 已 经 可 以 对 外 提供 证 书 服务 。 
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3. 辽宁 电力 PMI 授权 管理 系统 建设 与 应 用 


(1) 辽宁 电力 PMI 系统 网 络 结构 
辽宁 电力 PMI 系统 是 一 套 基 于 PKI-CA 系统 的 权限 管理 系统 ， 其 单独 网 络 结构 如 图 
8-8 所 示 。 


辽宁 电力 PMI 系 统 逻 辑 结构 图 


公共 区 


DMZ 区 


后 出 | 华为 Ir1026 


-HH 


损人 区 A 


| 华为 Ir1026 


安全 区 主 目录 服务 器 | 国 | 
{ 主 LDAP) 国 让 一 


ea wf 7 
8-8 辽宁 电力 PMI 系统 网 络 结构 图 


根据 辽宁 电力 现在 的 实现 环境 条 件 ， 辽 宁 电力 PMI 系统 部 署 在 辽宁 电力 现 有 的 
PKI-CA 机 房 中 ， 并 充分 利用 现 有 的 相应 的 网 络 及 主机 设备 ， 达 到 不 影响 整体 安全 及 系 
统 性 能 的 前 提 上 ， 将 PMI 系统 与 PKI-CA 系统 紧密 结合 ， 构 筑 起 辽宁 电力 整体 的 应 用 安 
全 基础 设施 。 

授权 管理 基础 设施 〈PMI) 是 信息 安全 基础 设施 的 一 个 重要 组 成 部 分 ， 其 目标 是 向 
用 户 和 应 用 程序 提供 授权 管理 服务 ， 提 供用 户 身份 到 应 用 授权 的 映射 功能 ， 提 供与 实际 
应 用 处 理 模式 相应 的 、 与 具体 应 用 系统 开发 管理 无 关 的 授权 和 访问 控制 机 制 ， 简 化 具体 
应 用 系统 的 开发 与 维护 ， 提 高 系统 整体 安全 级 别 。 

PMI 体系 是 计算 机 软 硬 件 、 权 限 管理 机 构 及 应 用 系统 的 结合 ， 它 为 访问 控制 应 用 提 
供 权限 和 角色 服务 。PMI 是 基于 “属性 证 书 ”的 系统 ， 类 似 于 用 户 的 “电子 签证 ”， 即 
可 以 通过 属性 证 书 作为 识别 用 户 权限 和 资质 的 依据 。 

根据 辽宁 电力 应 用 的 特点 ， 我 们 对 PMI 系统 进行 了 客户 化 工作 。 主 要 修改 了 以 下 几 
个 部 分 。 

中 操作 界面 ， 使 之 符合 辽宁 电力 应 用 系统 风格 。 
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@ 录入 方法 ， 采 用 树 状 结构 分 配 权限 ， 使 之 操作 简便 ， 易 于 上 手 。 

@ 权限 管理 方法 ， 采 用 了 先进 的 资源 + 动作 组 合 分 配 权限 方式 ， 更 适 于 电力 系统 复 
杂 权 限 的 分 配 。 

(2) PMI 系统 

PMI 系统 主要 包括 以 下 几 部 分 。 

Q@ 属性 证 书 的 签发 系统 : 最终 负责 给 用 户 分 配 具体 的 权限 /角色 ， 并 将 属性 证 书 发 
布 到 权限 发 布 系统 。 

@ 属性 证 书 的 申请 模块 系统 : 为 权限 管理 者 提供 了 一 个 界面 ， 它 负责 获取 权限 申 
请 信息 ， 并 把 申请 提交 给 签发 模块 。 部 署 在 操作 区 对 外 提供 服务 。 

@ 权限 发 布 系统 : 签发 的 数字 属性 证 书 主要 通过 目录 服务 的 方式 进行 发 布 ， 尽 管 
可 以 通过 用 户 自 定义 的 手段 。 使 用 目录 权限 发 布 系统 的 优点 在 于 ， 可 以 为 各 种 形式 的 系 
统 提供 一 致 和 标准 的 权限 发 布 及 获取 服务 ， 为 所 有 应 用 系统 提供 统一 的 权限 接口 。 权 限 
发 布 系统 部 署 在 非 军 事 区 ， 供 应 用 系统 查询 用 户 权限 。 

@ 访问 控制 支持 系统 : 如 果 使 用 属性 证 书 没 有 给 安全 应 用 在 权限 管理 和 访问 控制 
上 带 来 设计 ， 实 施 ， 管 理 ， 审 计 ， 总 体 安 全 的 改善 和 提高 ，PMI 技术 便 没 有 得 到 实质 上 
的 应 用 ， 也 不 会 改变 访问 控制 实施 复杂 的 情况 。 访 问 控制 支持 系统 能 够 方便 地 将 属性 证 
书 和 具体 的 应 用 集成 起 来 ， 极 大 地 简化 了 属性 证 书 的 应 用 和 访问 控制 系统 的 设计 ， 实 施 
和 管理 。 访 问 控制 支持 系统 部 署 在 应 用 服务 器 上 。 

(3) 时 间 戳 系统 的 建设 

辽宁 电力 的 时 间 惟 系统 要 为 省 公司 及 3 个 地 市 供电 公司 提供 可 信 的 时 间 服 务 ， 时 间 
玲 系 统 可 以 采用 集中 部 署 和 分 布 部 署 两 种 方式 ， 集 中 部 署 即 时 间 惟 服务 器 部 署 在 省 公 
司 ， 各 地 市 供电 公司 不 再 部 署 时 间 惟 服务器， 分 布 部 署 即 在 省 公司 和 各 地 市 供电 公司 都 
部 署 时 间 惟 服务器， 我 们 从 成 本 、 管 理 、 实 用 方面 考虑 辽宁 电力 的 用 户 群 是 本 公司 ， 相 
对 用 户 量 不 是 很 大 ， 我 们 采用 了 集中 部 署 方式 ， 如 果 将 来 随 着 用 户 量 增 大 时 ， 我 们 可 以 
采用 负载 均衡 方式 提高 系统 的 健壮 性 和 响应 速度 。 

G@ 时 间 源 的 部 署 ， 我 们 的 时 间 稚 系统 采用 了 上 海 赛 泰 的 GTT100 网 络 时 间 源 服务 
器 。 时 间 源 的 时 间 来 自 于 与 卫星 同步 时 间 ， 误 差 在 十 万 分 之 一 秒 内 。 

时 间 源 服务 器 存放 于 PKI-CA 机 房 内 ， 通 过 三 道 防火 墙 与 电力 专 网 相连 ， 保 证 了 其 
安全 性 。 时 间 源 服务 器 与 时 间 信 号 接收 器 通过 电缆 直 连 ， 最 大 程度 减 小 了 对 时 间 信 号 的 
干扰 。 

@ 时 间 戳 的 部 署 : 时 间 惟 服务 是 提供 在 特定 时 间 内 某 数据 存在 的 服务 ， 该 服务 是 
一 个 可 信任 第 三 方 提供 的 提供 该 服务 的 第 三 方 称 之 为 “时 间 惟 权威 (TSA 一 Time Stamp 
Anuthority) ”，TSA 是 时 间 惟 的 签发 机 构 ， 一 个 提供 可 信赖 的 且 不 可 抵赖 的 时 间 戳 服务 
的 可 信任 第 三 方 ， 它 是 PKI 的 重要 组 成 部 分 。TSA 的 主要 功能 是 提供 可 靠 的 时 间 信 息 
证 明 某 份 文 件 〈 或 某 条 信息 ) 在 某 个 时 间 〈 或 以 前 ) 存在 ， 防 止 用 户 在 这 个 时 间 前 或 时 
间 后 伪造 数据 进行 欺骗 活动 。 目 前 在 辽宁 电力 也 存在 大 量 的 应 用 系统 ， 时 间 惟 系统 可 以 
提供 统一 的 权威 可 信 时 间 源 。 

时 间 惟 服务 区 域 与 公用 证 书 下 载 系统 同属 一 区 ， 用 防火 墙 在 网 络 层面 做 访问 控制 ， 
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入 侵 检测 系统 保证 攻击 的 抵御 与 预防 。 

我 们 还 设置 严格 的 访问 控制 列表 ， 只 有 被 授权 的 管理 员 才 能 配置 系统 ， 系 统 对 每 个 
操作 做 严格 的 审计 记录 以 保证 事件 的 可 追溯 性 。 

(4) 网 站 防 算 改 系统 的 建设 

PKLPMI 系统 都 是 安全 等 级 非常 高 的 系统 ， 为 了 防止 页 面 被 非法 改变 ， 采 用 基于 数 
字 证 书 的 网 页 防 算 改 系统 TITKeeper 进行 保护 。 在 网 页 内 容 防 算 改 的 实现 中 ， 采 用 数字 
证 书 来 识别 程序 的 身份 ， 同 时 采用 数字 签名 技术 ， 传 递 数据 时 附加 一 个 对 数据 的 数字 签 
名 ， 以 保证 所 传递 数据 的 安全 性 和 完整 性 。 

根据 电力 系统 信息 安全 应 用 示范 工程 


辽宁 电力 PKI-PMI 系统 的 整体 实施 要 求 ， 


在 本 阶段 使 用 本 系统 对 PKI 系统 中 的 对 外 发 布 系统 进行 实时 监控 ; 对 PMI 系统 中 的 属性 
证 书 注 册 系 统 (ARA) 进行 实时 监控 ， 来 进一步 保障 辽宁 电力 的 信息 安全 基础 设施 的 安 
全 性 。 

目前 防 自 改 系统 已 经 部 署 完毕 ， 并 开始 实时 监控 。 

Keeper 功能 示意 图 如 图 8-9 所 示 。 


被 监控 端 


Web 服 务 器 


远程 控制 端 
KeeperSEC 
文件 服务 器 


图 8-9 ”基于 数字 证 书 的 网 页 防 自 改 系统 结构 图 


4. 基于 PKUPMII 的 应 用 系统 升级 改造 


辽宁 电力 应 用 系统 多 属 B/S 结构 ，B/S 结构 模式 在 目前 的 应 用 开发 中 得 到 了 广泛 的 
应 用 。 其 优点 为 方便 维护 ， 降 低 应 用 总 体 成 本 ， 升 级 方便 灵活 ， 操 作 控制 简单 ， 但 B/S 
结构 的 应 用 普遍 存在 以 下 弱点 。 

(1) 身份 认证 : 很 多 B/S 结构 的 应 用 沿用 了 C/S 结构 的 用 户 名 /口令 的 认证 方式 ， 由 
于 http 协议 自身 也 是 一 个 明文 协议 ， 所 以 这 种 身份 认证 方式 无 疑 面 临 着 诸如 窃听 、 仿造 、 
暴力 测试 等 多 种 威胁 。 

(2) 传输 安全 : 用 户 和 服务 器 之 间 的 明文 传输 导致 全 部 的 用 户 数据 都 毫 无 保护 地 暴 
露 在 网 络 环境 中 。 服 务 器 和 服务 器 之 间 的 通信 安全 也 是 我 们 常常 忽视 的 问题 。 
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(3) 权限 控制 权限 控制 在 旧 的 应 用 系统 中 是 一 个 普遍 存在 的 问题 ， 由 于 大 多 数 权 
限 控制 都 以 ACL 的 模式 实现 ， 并 且 权 限 只 在 本 系统 有 效 ， 造 成 了 系统 边界 成 为 了 权限 管 
理 的 弱点 。 

(4) 系统 审计 : 由 于 缺乏 技术 上 的 不 可 否认 能 力 ， 系 统 审计 缺乏 足够 的 可 信人 性 。 

(5) 系统 认证 : 网 络 时 代 的 大 型 应 用 往往 由 多 个 系统 共同 组 成 ， 系 统 之 间 相 互 协作 
共同 完成 整个 应 用 ， 这 就 为 我 们 带 来 了 系统 之 间 的 安全 问题 ， 如 何 保证 协作 的 系统 确实 
是 获得 许可 的 ， 这 是 多 机 分 布 式 系统 要 解决 的 问题 。 

Q@ 旧 应 用 系统 改造 步骤 如 图 8-10 所 示 。 


8-10 ”应 用 系统 访问 控制 流程 图 


由 于 旧 应 用 系统 的 不 规范 性 ， 很 难 提供 一 套 通用 的 解决 办 法 。 针 对 这 种 用 户 的 要 求 
提供 了 一 套 应 用 改造 API， 用 户 可 能 根据 自己 应 用 实际 情况 使 用 这 套 API 灵活 地 定制 自 
己 的 访问 控制 功能 。 

B/S 应 用 系统 的 改造 :利用 数字 证 书 提供 身份 认证 服务 ， 代 蔡 原 有 的 用 户 名 /口令 方 
式 ， 并 充分 利用 SSL 协议 在 实现 身份 认证 的 同时 ， 为 信道 提供 高 强度 的 加 密 ， 保 证 数据 
的 传输 安全 。 应 用 系统 在 用 户 登 录 后 ， 根 据 数字 证 书 提供 的 身份 信息 从 权限 管理 中 心 的 
目录 服务 器 中 获取 用 户 的 属性 证 书 ， 判 断 用 户 在 该 应 用 系统 中 的 访问 控制 权限 。B/S 应 
用 系统 改造 流程 图 如 图 8-11 所 示 。 

a. 身份 认证 。 系 统 采用 数字 证 书 代替 了 原 有 的 用 户 名 /口令 的 认证 方式 ， 用 户 使 用 
HITPS 协议 利用 浏览 器 登录 Web 服务 器 ， 如 果 用 户 证 书 是 由 Web 服务 器 所 信任 的 CA 
颁发 ， 而 且 有 效 ， 应 用 将 允许 用 户 登录 。 

b. 权限 的 获取 和 判断 。 由 于 系统 采用 数字 证 书 代替 了 原 有 的 用 户 名 /口令 的 认证 方 
式 , 并 用 属性 证 书 来 作为 用 户 权 限 的 载体 , 所 以 需要 替换 到 系统 原 有 的 权限 获取 的 模块 
我 们 采用 针对 B/S 结构 的 安全 中 间 件 来 作为 应 用 系统 获取 用 户 权限 的 工具 。 该 安全 中 间 
件 是 一 个 组 件 ， 应 用 系统 调用 即 可 。 
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PMI 应 用 系统 


颁发 身份 证 书 HTTPS 双向 认证 方式 


登录 系统 ， 取 得 身份 证 书 


根据 已 有 系统 的 操作 权限 了 


定义 PMI 中 的 角色 信息 二 
调用 中 间 件 , 从 LDAP 当中 查询 
| 并 解析 属性 证 书 ， 获 得 权限 信息 


注册 用 户 ， 根 据 实际 情况 
分 配角 色 值 ， 窗 发 属性 证 书 | 


| 获得 权限 信息 进行 访问 控制 
将 属性 证 书 发 布 到 LDAP 


图 8-11 B/S 应 用 系统 改造 流程 图 


c. 安全 中 间 件 的 功能 如 下 。 

第 一 ， 在 身份 认证 结束 后 ， 获 取 用 户 的 数字 证 书 。 

第 二 ， 根 据 用户 的 身份 证 书 从 目录 服务 上 获取 用 户 的 属性 证 书 。 

第 三 ， 验 证 属性 证 书 的 有 效 性 ， 从 属性 证 书 中 提取 用 户 的 权限 ， 提 交 给 应 用 系统 。 

第 四 ， 应 用 系统 根据 用 户 的 权限 、 资 源 的 敏感 程度 和 访问 控制 策略 判断 是 否 允许 
访问 。 

C/S 应 用 系统 的 改造 ， 服 务 器 要 求 用 户 使 用 数字 签名 进行 身份 认证 ， 代 蔡 原 有 的 用 
户 名 /口令 方式 。 应 用 系统 在 用 户 登录 后 ， 安 全 中 间 件 根 据 数字 证 书 提供 的 身份 信息 从 权 
限 管理 中 心 的 目录 服务 器 中 获取 用 户 的 属性 证 书 ， 判 断 用 户 在 该 应 用 系统 中 的 访问 控制 
权限 。 登 录 后 ， 服 务 器 与 用 户 间 生 成 一 个 共享 临时 会 话 密 钥 来 保护 通信 数据 。 

可 以 使 用 提供 的 安全 开发 包 《〈 中 间 件 ) 和 安全 应 用 服务 器 对 原 有 应 用 系统 进行 改 
造 。 下 面 以 开发 包 为 例 简要 说 明 改 造 方式 。 

a. 改造 用 户 端 。 

替换 用 户 端 基 于 用 户 名 /口令 登录 模块 ， 使 用 安全 开发 包 开 发 基于 数字 证 书 的 登录 
模块 。 

在 原 有 系统 的 通信 基础 上 ， 使 用 安全 开发 包 开 发 通信 保护 模块 加 密 信道 。 

b. 改造 服务 器 端 。 

第 一 ， 使 用 安全 开发 包 验证 解析 证 书 ， 获 取 用 户 的 身份 信息 。 

第 二 ， 使 用 安全 开发 包 开 发 通信 保护 模块 加 密 信道 。 

第 三 ， 使 用 安全 开发 包 开 发 权限 获取 和 验证 模块 。 
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第 四 ， 安 全 中 间 件 可 以 很 好 地 和 应 用 系统 结合 在 一 起 ， 采 用 这 种 方式 无 需 额外 的 投 
资 ， 并 且 不 会 改变 系统 原 有 的 流程 。 

第 五 ， 安 全 应 用 服务 器 是 独立 于 应 用 系统 之 外 的 功能 服务 器 ， 它 将 身份 认证 和 权限 
获取 的 功能 从 原 系统 之 内 剥离 出 来 形成 一 个 单独 的 系统 。 应 用 系统 本 身 不 再 需要 单独 的 
身份 认证 模块 ， 它 只 需要 和 安全 应 用 服务 器 进行 通信 ， 从 安全 应 用 服务 器 获得 身份 认证 
的 结果 ， 根 据 从 身份 认证 服务 器 传 来 的 权限 信息 进行 访问 控制 。 

@ 系统 改造 遇 到 的 主要 问题 及 解决 办 法 。 为 保证 原 系统 的 正常 运行 ， 同 时 不 耽误 
应 用 改造 进度 的 进行 。 我 们 搭建 了 与 生产 系统 完全 一 致 的 软件 环境 ， 并 在 该 环境 的 基础 
上 进行 应 用 改造 和 测试 。 已 经 完成 改造 的 应 用 有 : 综合 查询 、 人 力 资源 、 信 息 网 络 、 科 
技 管理 、 生 产 管理 (PMIS) 系统 、 电 力行 业 协会 系统 和 OA 办 公 系 统 。 

a. 应 用 系统 采用 了 Weblogic、Iplanet 等 不 同 的 Web 服务 器 ， 进 行 应 用 改造 前 我 们 
需要 熟悉 每 一 种 Web 服务 器 的 使 用 方法 和 原理 。 为 保障 应 用 改造 早日 开始 ， 我 们 的 开发 
人 员 认 真 学 习 ， 在 最 短 的 时 间 内 掌握 了 不 同 Web 服务 器 的 配置 方法 ， 为 以 后 的 改造 工作 
打 好 了 基础 ， 也 节省 了 工期 。 

b. 应 用 系统 的 操作 系统 也 不 一 样 ， 分 别 部 署 在 不 同 的 UNIX 和 Windows 服务 器 
上 ， 所 使 用 的 JDK 版 本 也 不 尽 相 同 。 这 导致 同一 功能 接口 在 不 同 的 应 用 中 不 能 通用 ， 必 
须 针对 每 种 操作 系统 作 相 应 开发 。 为 保障 项 目的 正常 开发 进度 ， 我 们 投入 人 力 对 各 应 用 
系统 进行 同时 开发 。 经 过 探讨 ， 最 终 决定 在 每 个 应 用 的 服务 器 上 对 应 用 接口 进行 现场 编 
译 工 作 ， 并 直接 测试 。 这 样 保障 了 应 用 接口 与 操作 系统 和 JDK 版 本 的 兼容 性 和 可 用 性 。 

c. 应 用 系统 的 开发 涉及 了 Java、VC、JSP、ASP 等 不 同 开发 语言 ;我 们 根据 需要 ， 
先后 召集 了 多 位 不 同 语言 的 开发 人 员 对 应 用 系统 进行 改造 ， 通 过 合理 地 调配 资源 和 认真 
学 习 ， 我 们 对 系统 改造 拥有 了 较 高 的 把 握 。 在 应 用 开发 上 的 协助 下 顺利 完成 了 不 同 语言 
平台 的 改造 工作 ， 并 且 保 障 了 系统 的 开发 进度 和 质量 。 

d. 应 用 由 多 家 应 用 厂商 开发 ， 所 采用 的 方法 也 有 很 大 差异 。 由 于 不 同 应 用 有 不 同人 
员 同时 进行 开发 的 方法 ， 每 个 开发 人 员 都 能 有 针对 性 地 与 应 用 厂商 进行 交流 ， 避 免 了 重 
复 劳 动 。 同 时 也 能 以 最 快 的 开发 进度 结束 应 用 开发 。 

e. PMI 系统 部 署 中 解决 的 问题 。 PMI 授权 管理 系统 采用 的 是 标准 SQL 语句 开发 ， 在 
系统 的 部 署 过 程 中 我 们 发 现 与 电力 公司 所 使 用 的 Oracle 数据 库存 在 不 兼容 现象 。 经 过 仔 
细 调 研 和 讨论 、 测 试 提出 解决 问题 办 法 ， 节 省 了 大 量 的 改造 时 间 。 也 为 应 用 改造 工作 的 
早日 开展 创造 了 有 利 条 件 。 

f. 地 市 RA 部 署 中 解决 的 问题 。 由 于 各 地 市 与 省 中 心 是 通过 电力 网 络 联通 ， 且 中 间 
经 过 很 多 路 由 和 防火 墙 ， 网 络 十 分 复杂 。 尤 其 是 我 们 在 RA 中 心 和 省 中 心 配 备 了 多 层 防 
火 墙 ， 并 且 为 了 保障 主机 安全 我 们 对 主机 IP 进行 了 多 次 NAT 转换 来 保护 主机 真实 IP。 
在 有 关 技 术 人 员 配 合 下 ， 逐 步 分 析 终于 找到 问题 所 在 ， 并 一 举 解决 。 使 各 市 电力 RA 中 
心 与 省 中 心 保持 了 畅通 连接 。 

g. OA 系统 与 PKIPMI 系统 的 结合 。 电 子 印 章 系统 制作 的 电子 印章 具有 唯一 性 、 不 
可 复制 性 和 防伪 能 力 ， 已 签 章 电 子 文件 用 电子 印章 封装 加 密 ， 保 障 电子 文件 的 隐秘 性 和 
数据 完整 性 ;， 签 章 流程 可 全 程 跟踪 ， 签 章 人 的 身份 利用 生物 技术 完全 确认 ， 利 于 政府 和 
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企业 运作 的 高 效 和 安全 。 所 用 的 时 间 惟 系统 配合 完成 。 

h. PKI 系统 与 统一 管理 平台 (Portal) 的 结合 。PKI 系统 与 Portal 的 结合 有 利于 辽宁 
电力 信息 资源 的 整合 和 统筹 ， 按 照 组 织 、 部 门 、 邮 件 等 多 种 条 件 进行 组 合 查询 ， 并 能 够 
根据 检索 条 件 中 的 某 一 条 信息 从 指定 LDAP 上 读 取 制 证 所 需要 的 用 户 信息 〈C、S、 工 、 
O、OU、CN、E-mail)， 证 书 是 否 已 经 存在 以 及 证 书 状 态 ， 判 断 目 录 上 指定 用 户 的 证 书 
是 否 已 经 存在 ， 并 要 能 够 给 用 户 证 书 加 上 状态 属性 ;根据 条 件 发 放 的 证 书 上 传 到 LDAP 
上 ， 位 置 由 IEI 决定 ， 对 吉大 透明 ; 按照 条 件 进行 查询 并 删除 已 经 存在 的 用 户 证 书 ( 该 
功能 在 证 书 注销 时 使 用 )。 


8.4 系统 建设 成 果 及 应 用 情况 


8.4.1 建立 起 完善 的 PKI-CA/PMI 认证 及 授权 管理 体系 


辽宁 电力 公司 通过 两 期 建设 ， 建 立 起 完善 的 PKI-CA/PMI 认证 及 授权 管理 体系 ， 完 
成 对 原 有 的 各 种 应 用 系统 的 安全 改造 ， 构 建 起 整个 辽宁 省 电力 信息 系统 的 安全 认证 保障 
体系 ， 形 成 辽宁 省 电力 公司 整体 的 安全 信息 化 应 用 平台 ， 如 图 8-12 所 示 。 


应 用 系统 


服务 和 支持 


应 用 支持 系统 


身份 证 书信 息 属性 证 书信 息 
息 身份 证 书 
a 和 用 户 信息 
身份 证 书 一 一 一 

A 


图 8-12 辽宁 电力 PKIPMI 应 用 安全 支撑 逻辑 示意 图 


从 技术 体系 确保 了 省 公司 应 用 系统 中 信息 在 产生 、 存 储 、 传 输 和 处 理 过 程 中 的 保 
密 、 完 整 、 抗 抵赖 和 可 用 ; 为 应 用 系统 建立 了 统一 的 用 户 管理 体系 、 系 统 的 资源 提供 了 
统一 的 授权 管理 服务 ， 为 企业 内 部 实现 办 公 自 动 化 葛 定 了 安全 保障 ; 提高 了 应 用 系统 的 
安全 强度 和 应 用 水 平 。 

从 物理 环境 建设 方面 ， 遵 循 国家 B 级 要 求 建设 机 房 的 墙 面 、 地 面 、 照 明 、 空 调和 新 
风 、 综 合 布线 等 ， 为 了 保证 密码 产品 的 安全 性 和 防 电磁 泄漏 ， 按 照 国 家 密码 管理 局 的 要 
求 建设 了 屏蔽 机 房 , 并 通过 了 GJBZ20219-94《 军 用 电磁 屏蔽 室 通用 技术 要 求 和 检测 方法 》 
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C 级 标准 的 验收 ， 机 房 还 部 署 了 门禁 与 监控 系统 ， 来 保证 人 员 出 入 和 审计 的 安全 性 。 
8.4.2 ”完善 的 辽宁 电力 PKILPMI 系统 功能 


建立 完善 的 辽宁 电力 PKIPMI 系统 功能 ， 即 在 省 公司 建立 一 个 KM ( 密 钥 管理 ) 中 
心 、CA【〔 证 书 认证 ) 中 心 、RA 注 册 审 核 ) 中 心 和 分 发 中 心 〈 信 息 发 布 )。 

在 省 公司 建立 一 个 主 LDAP 服务 器 和 从 LDAP 服务 器 ,存放 全 省 所 有 的 证 书 和 废除 
证 书 列表 ， 实 现 证 书 状 态 查 询 。 建 立 完善 可 靠 的 安全 应 用 支撑 体系 ， 即 向 全 省 的 电力 应 
用 系统 提供 密码 服务 加密、 解密 、 签 名 、 验 签 、OCSP 等 服务 )。 在 各 地 市 供电 公司 建 
立 证 书 注册 机 构 ， 提 供 证 书 申请 、 审 核 和 查询 服务 ， 如 图 8-13 所 示 。 辽 宁 电力 PKIPMI 
系统 逻辑 结构 图 如 图 8-14 所 示 。 


辽宁 电力 PKIPMI 系 统 功能 结构 图 


用 户 申请 信息 的 录入 并 所 心 ， 
负责 对 用 户 进行 审核 | 


忆 ; 
目 几 | 肚 图 Wanarexm | 里 


Er a 


辽宁 省 电力 有 限 公司 信息 中 心 
na i 
图 8-13 辽宁 电力 PKIPMI 系统 功能 结构 图 


8.4.3 ”完成 了 基于 证 书 的 各 种 应 用 系统 改造 


(1) 基于 证 书 的 应 用 系统 改造 已 完成 21 个 应 用 系统 ， 发 放 数 字 证 书 共 有 400 余 张 ， 
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在 省 公司 和 基层 供电 公司 得 到 了 应 用 ， 成 为 辽宁 电力 系统 信息 安全 防线 。 
不 同 的 开发 工具 : 开发 语言 有 Java、 C/C++、Visual Basic 等 , 开发 工具 有 C++5.0/6.0、 
PowerBuilder 6.0/9.0、Visual Basic 6.0 等 。 


/ 辽宁 电力 PKI/PMI 系 统 逻 辑 结构 图 \ 


华为 Ir1026 


; 供电 公司 
沈阳 /大 连 注册 服 关 器 
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SJY05-B 入 侵 检测 
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ALDAD 时 间 碘 服务 器 ”服务 器 联想 网 御 


操作 区 


SJY05-B » 
HPDL320 宇和 执 据 技法 划算 
汗 理 


和 六 


安全 区 。 主 目录 服务 器 寿 二 加 “服务 器 
HP DL580 SJY05-B HP DL320 
数据 数据 


8-14 辽宁 电力 PKIPMI 系统 逻辑 结构 图 


不 同 的 系统 平台 : 操作 系统 有 UNIX AIX、Solaris、Windows NT， 应 用 服务 器 有 
WebLogic 8.1、 Iplanet 6.5、Tomcat 4.0。 

不 同 的 数据 库 : 数据 库 有 Oracle9i、Sybase11.5/12.5、Sybase SQL Anywhere 5.0 需要 
提供 相应 的 判断 机 制 和 编码 转换 方法 。 

不 同 的 开发 商 : 大 约 将 近 16 个 开发 商 完成 ， 采 用 的 系统 设计 也 略 有 不 同 ， 导 致 要 分 
别提 供认 证 接口 。 

不 同 的 客户 端 操作 系统 : Windows 98、2000、ME、XP， 再 加 上 用 户 计 算 机 操作 水 
平 的 不 同 。 

例如 ， 原 有 应 用 多 采用 “用 户 名 十 口令 ”的 机 制 进行 身份 认证 ， 这 种 方式 由 于 用 户 
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名 、 口 令 均 为 明文 传递 到 服务 器 ， 在 服务 器 端 进行 验证 ， 用 户 的 信息 存放 在 服务 器 端 ， 
只 是 服务 器 验证 用 户 ， 用 户 对 服务 器 没有 进行 有 效 的 验证 。 极 易 造 成 用 户口 令 的 泄露 ， 
从 而 造成 系统 的 安全 漏洞 。 

各 种 应 用 系统 (包括 B/S、C/S 结构 )， 无 法 有 效 保 障 其 运行 数据 的 安全 ， 不 能 有 效 
实现 对 相关 操作 的 抗 抵赖 。 以 往 的 各 种 应 用 系统 ， 由 于 各 成 一 套 体系 ， 造 成 用 户 在 访问 
不 同 应 用 系统 时 要 记忆 不 同 的 用 户 + 口 令 ， 或 出 示 不 同 的 凭证 〈 如 磁卡 )， 既 不 安全 又 不 
方便 。 

(2) 具体 实施 方法 为 : 〈 包 括 B/S、C/S 结构 ) 为 此 而 开发 了 相应 的 加 密 签名 控件 加 
入 到 相应 的 应 用 系统 中 ， 将 key 连接 到 终端 计算 机 上 ， 输 入 key 的 保护 口令 ， 这 时 应 用 
系统 就 能 够 根据 员工 所 使 用 的 数字 证 书 对 其 进行 身份 验证 并 判断 员工 所 拥有 的 权限 ， 直 
接 登 录 到 应 用 系统 中 进行 相应 的 操作 。 

存 有 数字 证 书 的 智能 密码 钥匙 储存 Notes 用 户 的 用 户 名 称 和 ID 文件 保护 口令 , 实现 
用 智能 密码 钥匙 登录 Lotus Notes 客户 端的 功能 ， 实 现 了 基于 数字 证 书 的 身份 验证 。 

使 用 证 书 登录 B/S 结构 的 管理 系统 , 证 书 经 过 后 台 服 务 器 验证 证 明 是 否 为 真实 有 效 。 
验证 通过 后 系统 根据 登录 的 用 户 赋予 相应 的 权限 完成 整个 登录 过 程 。 例 如 ， 生 产 管理 、 
信息 发 布 、 综 合 数据 查询 、 人 力 资 源 、 信 息 中 心 管理 、 科 技 成 果 管 理 、 行 协 信息 系统 共 
7 个 B/S 结构 的 管理 信息 系统 。 

在 邮件 客户 端 (Outlook Express) 中 使 用 数字 证 书 ， 对 编辑 的 邮件 进行 加 密 和 签名 
操作 ， 对 收 到 的 邮件 进行 解密 和 验证 签名 操作 ， 实 现 安全 电子 邮件 功能 。 

对 于 C/S 结构 的 管理 系统 ， 通 过 使 用 数字 证 书 确认 用 户 的 身份 ， 并 保证 用 户 被 确认 
后 ， 用 户 本 身 不 可 抵赖 。 由 于 用 户 私 钥 证 书 存 储 于 智能 密码 钥匙 中 ， 就 像 用 户 的 钥匙 ， 
安全 性 得 到 了 很 好 的 保证 。 其 他 人 无 法 获得 用 户 的 钥匙 就 无 法 冒名 进行 对 数据 库 的 操 
作 。 应 用 系统 能 对 系统 中 用 户 进行 有 效 的 识别 ， 对 合法 用 户 的 操作 行为 的 可 确认 性 也 得 
到 了 很 好 的 保证 。 例 如 : 营业 管理 、 干 部 管理 、 外 事 管理 、 安 全 监察 、 燃 料 管理 、 机 关 
房产 、 机 关 人 事 、 综 合计 划 、 社 保管 理 、 学 会 协会 、 公 积 金 管理 和 职工 健康 档案 共 12 
个 应 用 系统 。 


8.4.4 ”建设 辽宁 电力 PKI-CA/PMI 认证 中 心机 房 


(1) 建设 了 辽宁 电力 PKI-CA/PMI 认证 中 心机 房 在 安全 区 选用 2.5mm 优质 钢板 拼装 
成 电磁 屏蔽 机 房 ， 实 用 于 频带 较 宽 场合 的 抗 干扰 ， 达 到 国家 C 级 安全 标准 。 空 调 、 门 禁 、 
完整 的 消防 系统 。 采 用 数字 监控 系统 ， 对 所 有 通道 和 主要 房间 进行 实时 监控 ， 确 保 无 监 
控 死 角 。 

(2) 完成 了 UPS 电源 及 监控 系统 、 机 房 空 调 、 温 度 和 湿度 监控 系统 、 消 防 系统 等 安 
全 基础 设施 的 升级 、 扩 建 和 改造 工程 ;完成 了 计算 机 主机 房 、 网 络 管理 中 心 、 
PKI-CAA/PMI 认证 中 心 、 信 息 安 全 实验 室 和 培训 教室 等 重点 部 位 的 在 线 安 全 视频 监视 系 
统 的 建设 。 
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数据 存储 备份 和 容 灾 备 份 是 网 络 信息 安全 关键 环节 。 数 据 存储 备份 网 络 化 及 数据 存 
储备 份 虚拟 化 是 数据 存储 备份 和 容 灾 备份 技术 发 展 方向 。 

本 章 介 绍 企业 数据 保护 与 备份 目的 意义 及 实现 方法 ， 灾 难 影 响 分 析 及 制定 灾难 恢复 
计划 和 灾难 恢复 实现 方法 。 介 绍 辽 宁 电力 数据 备份 及 灾难 恢复 系统 建设 与 应 用 实例 。 


9.1 数据 存储 备份 与 灾难 恢复 基本 原理 


本 节 介绍 数据 存储 备份 和 容 灾 备 份 的 基本 概念 ， 数 据 存储 备份 网 络 化 及 数据 存储 备 
份 虚拟 化 技术 ，LAN-Base 备份 系统 与 LAN-Free 和 Server-Free 的 备份 系统 性 能 比较 。 


9.1.1 数据 存储 备份 基本 概念 


传统 数据 存储 备份 通常 是 指 : 把 计算 机 硬盘 驱动 器 中 的 数据 拷贝 到 磁带 或 光盘 上 ， 
本 机 磁盘 存储 、 直 接 附 加 存储 〈DAS) 和 手工 备份 。 企 业 级 数据 备份 是 指 : 对 精确 定义 
的 数据 收集 进行 拷贝 ， 无 论 数据 的 组 织 形式 是 文件 、 数 据 库 ， 还 是 逻辑 卷 或 磁盘 ， 管 理 
保存 上 述 拷贝 的 备份 介质 ， 以 便 需 要 时 能 迅速 、 准 确 地 找到 任何 目标 数据 的 任何 备份 ， 
并 准确 追踪 大 量 介质 。 提 供 复 制 已 备份 数据 的 机 制 ， 以 便 进行 离 站 存档 或 灾难 防护 。 准 
确 追 踪 所 有 目标 数据 的 所 有 拷贝 位 置 。 备 份 的 方式 一 般 有 3 种 : 全 备份 一 一 备份 所 有 选 
择 的 文件 ， 增 量 备份 一 一 只 备份 上 次 备份 后 改变 过 的 文件 ， 差 分 备份 一 一 只 备份 上 次 全 
备份 后 改变 过 的 文件 。 

数据 保护 对 象 ， 狭 义 指 计算 机 系统 中 的 : 操作 系统 、 数 据 库 、 应 用 系统 和 应 用 数据 。 
保护 数据 的 主要 技术 手段 是 : 存储 和 备份 恢复 。 传 统 的 数据 存储 和 备份 技术 主要 是 : 服 
务 器 本 机 磁盘 存储 、 直 接 附加 存储 〈DAS) 和 手工 备份 。 这 些 技术 已 经 不 能 满足 数据 快 
速 增长 、 数 据 可 靠 存 储 和 有 效 管 理 、 数 据 备份 管理 和 恢复 的 发 展 需求 。 

在 数据 存储 备份 网 络 化 ， 或 者 说 ， 以 服务 器 为 中 心 转向 以 存储 器 为 中 心 的 趋势 下 ， 
网 络 连 接 存储 (NAS) 和 存储 区 域 网 (SAN)， 带 来 了 真正 的 高 可 用 性 、 高 扩展 性 、 安 全 
性 和 可 管理 性 , 最 新 的 网 络 化 存储 可 以 在 数据 中 心 和 WAN 中 建立 经 济 有 效 的 存储 连接 。 
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采用 数据 存储 备份 虚拟 化 技术 ， 可 以 将 历史 遗留 的 、 来 自 于 不 同 厂商 的 存储 硬件 
“孤岛 ”整合 到 统一 的 “存储 池 ” 中 ， 再 进一步 提供 镜像 、 快 照 、 复 制 、 存 储 质量 管理 
(Quality of Storage Services，QoSS)、 数 据 归 档 、 迁 移 、 生 命 周 期 管理 等 服务 。 提 供 各 种 
UNIX 及 Windows 平台 上 的 文件 系统 和 数据 库 的 增 量 及 全 备份 方法 ， 提 供 LanFree， 
Serverless 及 BLIB 等 先进 技术 缩短 数据 备份 窗口 ， 以 适应 应 用 的 不 同 要 求 。 支 持 操作 系 
统 和 数据 的 快速 恢复 ， 具 有 灾难 恢复 功能 ， 支 持 层次 化 的 数据 管理 策略 以 节省 磁盘 空间 
并 提高 备份 效率 ;支持 防火 墙 复杂 网 络 环境 下 的 数据 备份 与 恢复 ， 对 多 个 异地 备份 域 提 
供 集中 的 管理 与 控制 ， 可 以 与 网 络 管理 工具 集成 。 


9.1.2 ” 容 灾 备 份 基 本 概念 


容 灾 备 份 通过 设置 合理 的 备份 策略 ， 如 果 受 到 灾难 性 重大 事故 的 打击 ， 整 个 系统 最 
多 只 丢失 几 个 小 时 的 数据 ， 再 通过 几 个 小 时 的 数据 恢复 应 急 处 理 ， 系 统 又 可 以 重新 恢复 
正常 的 业务 。 容 灾 备 份 的 目的 是 防止 数据 的 意外 丢失 造成 系统 业务 的 中 断 。 容 灾 备 份 系 
统 从 对 系统 业务 的 弥补 效果 来 看 分 为 磁带 容 灾 、 数 据 容 灾 和 应 用 容 灾 3 个 级 别 ， 分 别 满 
足 不 同 的 RTO、RPO 指标 。 对 RTO、RPO 的 解释 如 图 9-1 所 示 。 


Wks Days Hrs Mins sey Secs Mins Hrs Days Wks 
恢复 点 4 外 恢复 时 间 
。 数据 恢复 点 (RPO) 
一 能 够 容忍 的 数据 丢失 量 


。 恢复 时 间 (RTO) 
一 能 够 容忍 的 恢复 时 间 


图 9-1 容 灾 备份 及 恢复 时 间 节点 示意 图 


从 图 9-1 的 最 左 侧 算 起 ， 为 系统 进行 容 灾 备 份 的 时 间 点 。 图 9-1 的 中 间 部 位 表示 灾 
难事 故 发 生 造 成 数据 损失 以 及 系统 服务 中 断 。 图 9-1 的 右 侧 代表 数据 业务 恢复 的 时 间 。 

RPO (Recovery Point Object) 指 灾难 发 生前 的 数据 丢失 量 ，RTO (Recovery Time 
Object) 指 灾难 发 生 后 系统 的 修复 时 间 。 

磁带 的 备份 /恢复 能 够 将 RTO、RPO 的 指标 缩短 到 几 个 小 时 。 但 是 ， 实 时 容 灾 备 份 
技术 ， 已 经 能 够 将 上 述 指标 缩短 到 分 钟 级 、 秒 级 甚至 到 零 ， 从 而 为 用 户 带 来 真正 意义 
上 的 业务 连续 性 效果 。 实 时 容 灾 技 术 包括 数据 复制 和 跨 地 域 的 集群 两 种 方案 ， 如 图 9-2 
所 示 。 

备份 容 灾 解决 方案 如 图 9-3 所 示 。 

LAN-Base 备份 方式 如 图 9-4 所 示 。 

LAN-Base 备份 结构 如 图 9-4 所 示 ， 在 该 系统 中 数据 的 传输 是 以 网 络 为 基础 的 。 其 中 
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配置 一 台 服 务 器 作为 备份 服务 器 ， 由 它 负责 整个 系统 的 备份 操作 。 磁 带 库 则 接 在 某 台 服 
务 器 上 ， 在 数据 备份 时 备份 对 象 把 数据 通过 网 络 传输 到 磁带 库 中 实现 备份 的 。 


容 灾 架构 
| 跨 广 域 网 的 灾难 恢复 
<WAND 


图 9-2 广域网 络 的 灾难 恢复 结构 示意 图 


实时 容 灾 技 术 


Wks Days Hrs Mins secs@ Secs Mins Hrs Days Wks 
MA 2 A A A A A A TI TY 
恢复 点 由。 恢复 时 间 
数据 复制 。 ” 畴 地 域 的 集群 
也 多 揽 
图 9-3 备份 容 灾 解决 方案 控制 图 


破 带 备份 要 再 


数据 | 


磁带 机 | 地 | 磁盘 阵列 
= 


图 9-4 备份 容 灾 系统 LAN-Base 备份 方式 结构 图 


LAN-Base 备份 结构 的 优点 是 节省 投资 、 磁 带 库 共享 、 集 中 备份 管理 ， 它 的 缺点 是 
对 网 络 传输 压力 大 、 备 份 效率 不 高 。 
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LAN-Free 备份 方式 如 图 9-5 所 示 。 


件 服务 器 


xf 器 哩 部 


LAN 网 络 


A/ 

/ 一 久久 国 国 国 数据 库 服务 器 
L 中 

光纤 交换 机 


气 va 磁盘 阵列 
-大 力 


9-5 ”备份 容 灾 系统 LAN-Free 备份 方式 结构 图 


> 


磁带 库 


LAN-Free 和 Server-Free 的 备份 系统 是 建立 在 SAN (存储 区 域 网 ) 的 基础 上 的 ， 其 
结构 如 图 9-5 所 示 。 基 于 SAN 的 备份 是 一 种 彻底 解决 传统 备份 方式 需要 占用 LAN 带宽 
问题 的 解决 方案 。 它 采用 一 种 全 新 的 体系 结构 ， 将 磁带 库 和 磁盘 阵列 各 自作 为 独立 的 光 
纤 节 点 ， 多 台 主 机 共享 磁带 库 备 份 时 ， 数 据 流 不 再 经 过 网 络 而 直接 从 磁盘 阵列 传 到 磁带 
库 内 ， 是 一 种 无 需 占用 网 络 带 宽 (LAN-Free) 的 解决 方案 。 

在 备份 技术 中 ， 将 SAN 结构 中 磁盘 向 磁带 库 系 统 的 直接 备份 称 为 LAN Free 
Backup。 实 际 上 ,在 SAN 形成 的 根本 原因 中 ， 高 速 的 备份 系统 成 为 很 重要 的 一 个 因素 。 
SAN 为 存储 系统 提供 了 高 速 的 光 通 道 连接 网 络 , 因此 使 磁盘 的 数据 向 磁带 库 的 直接 备份 
成 为 可 能 ， 并 且 可 以 直接 获得 接近 100MB/s 的 通道 传输 速率 (采用 基于 千 兆 以 太 网 的 网 
络 备份 平均 只 能 获得 30MB/s 的 数据 传输 速度 )。 这 种 备份 大 大 优化 了 备份 结构 ， 完 全 将 
应 用 LAN 解放 出 来 ,可 以 说 ,充分 利用 了 SAN 带 来 的 巨大 潜力 ,这 也 是 LAN Free Backup 
的 优势 所 在 。 这 种 备份 方式 采用 全 新 的 存储 区 域 网 络 的 概念 ， 有 着 其 本 身 独 特 的 特点 。 

备份 的 性 能 能 够 得 到 最 佳 的 发 挥 ， 释 放 备份 所 占用 的 LAN 带宽 。LAN 本 身 不 是 为 
高 数据 流 所 设计 的 ， 而 SAN 则 是 基于 高 数据 流 设 计 ， 能 够 将 高 速 磁带 设备 的 性 能 体现 
出 来 。 

磁带 库 易于 被 所 有 的 服务 器 所 共享 ， 磁 带 库 本 身 作为 一 个 节点 ， 而 不 是 作为 外 设 ， 
不 再 需要 通过 所 连接 的 主机 来 实现 共享 ， 可 扩展 性 好 ， 若 现 有 带 库 不 能 满足 要 求 ， 只 需 
增加 一 个 节点 的 带 库 ， 就 可 实现 容量 的 扩展 。 


9.2 ”网 络 存储 与 数据 备份 


本 节 论 述 企 业 数据 保护 与 备份 目的 意义 及 实现 方法 ， 介 绍 企业 数据 存储 与 备份 技 
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术 ， 企 业 数 据 备 份 方式 的 选择 。 
9.2.1 企业 数据 存储 与 备份 


1. 企业 数据 保护 与 备份 意义 


不 管 发 生 任何 情况 ， 作 为 企业 重要 资产 之 一 的 在 线 数据 都 必须 得 到 竭力 保护 。 只 有 
保护 好 数据 ， 企 业 才 能 实现 。 

(1) 在 服务 器 、 应 用 程序 、 存 储 设备 或 软件 发 生 故 障 ， 或 发 生 操 作 失误 或 站 点 灾难 
后 ， 尽 快 恢复 正常 运营 。 

(2) 迅速 地 将 数据 迁移 到 需要 的 任何 地 方 。 

(3) 使 历史 数据 的 保留 符合 商业 规定 的 要 求 。 

备份 是 最 基本 的 数据 保护 方法 ， 可 以 帮助 企业 进行 灾难 恢复 。 备 份 技术 可 以 防止 数 
据 在 故障 或 灾难 中 丢失 。 


2. 数据 保护 的 方式 


数据 保护 主要 包括 制作 和 使 用 重要 数据 拷贝 。 

(1) 制作 数据 库 和 文件 中 的 数据 备份 并 将 其 存档 。 

(2) 将 电子 文档 从 数据 中 心 转移 到 安全 的 保险 库 。 

(3) 将 数据 从 生成 地 点 复制 到 使 用 地 点 。 

(4) 将 数据 从 不 常用 的 地 方 转移 到 常用 的 地 方 。 

这 种 拷贝 数据 的 任务 看 似 简单 ， 实 际 上 却 有 很 多 技术 挑战 。 

(1) 设计 和 实施 适当 策略 ， 使 数据 能 在 适当 的 时 间 到 达 适 当 的 地 点 ， 即 使 发 生 故 障 
或 程序 错误 。 

(2) 追踪 文件 的 拷贝 位 置 〈《 例 如， 哪些 备份 位 于 哪些 磁带 ， 以 及 磁带 保存 的 位 置 等 )。 

(3) 拷贝 时 保证 目标 数据 收集 的 内 部 一 致 性 。 

(4) 最 大 限度 地 减少 由 备份 应 用 程序 不 能 使 用 数据 导致 的 信息 系统 服务 停机 时 间 。 

(5) 确定 管理 策略 何 时 改变 会 有 效 ， 如 备份 频率 应 当 何 时 增加 ， 或 者 产品 数据 或 价 
格 表 副 本 应 当 何 时 复制 到 地 区 办 事 处 ， 才 能 减少 网 络 数据 流量 。 


3. 企业 备份 目的 


备份 是 任何 企业 数据 保护 体系 结构 的 核心 。 备 份 是 特定 数据 〈 理 想 状态 下 ) 在 其 存 
在 的 某 一 时 刻 的 复制 。( 现 在 还 有 一 种 “模糊 ”文件 和 数据 库 的 备份 技术 ， 它 在 不 完全 保 
证 数据 现时 性 和 一 致 性 的 情况 下 ， 对 数据 库 改 变 的 内 容 部 分 进行 拷贝 。 在 数据 库 出 现 某 
些 故 障 时 ， 这 种 技术 可 以 恢复 数据 库 , 然而 , 这 种 拷贝 不 能 作为 商业 上 长 久 的 数据 记录 。) 

企业 备份 的 目的 如 下 。 

(1) 使 信息 服务 能 在 故障 、 灾 难 或 应 用 程序 错误 发 生 后 尽快 恢复 。 

(2) 使 数据 能 快速 而 容易 地 转移 。 
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(3) 历史 数据 的 保留 符合 商业 规定 的 要 求 。 

对 个 人 计算 机 用 户 而 言 ， 备 份 通常 是 指 把 计算 机 硬盘 驱动 器 中 的 数据 拷贝 到 磁带 或 
光盘 上 。 个 人 备份 介质 通常 由 人 手工 标记 ， 备 份 “ 管 理 ” 就 是 将 备份 放 在 计算 机 所 在 房 
间 的 抽 居 或 壁橱 里 。 

对 企业 而 言 ， 数 据 保护 要 比 上 述 情况 复杂 得 多 。 企 业 备 份 必 须 能 够 满足 下 列 要 求 。 

(1) 对 精确 定义 的 数据 收集 进行 拷贝 ， 无 论 数据 的 组 织 形式 是 文件 、 数 据 库 ， 还 是 
逻辑 卷 或 磁盘 。 

(2) 管理 保存 上 述 拷贝 的 备份 介质 ， 以 便 需 要 时 能 迅速 、 准 确 地 找到 任何 目标 数据 
的 任何 备份 ， 并 准确 追踪 大 量 介质 。 

(3) 提供 复制 已 备份 数据 的 机 制 ， 以 便 进行 离 站 存档 或 灾难 防护 。 

(4) 准确 追踪 所 有 目标 数据 的 所 有 拷贝 位 置 。 


4. 企业 备份 的 复杂 性 


企业 进行 磁带 备份 的 功能 看 似 简单 ， 但 在 大 型 企业 中 ， 实 施 满足 要 求 的 备份 策略 却 
十 分 复杂 。 在 设计 或 者 更 新 备份 策略 时 则 更 为 复杂 ， 其 原因 如 下 。 

(1) 数据 的 组 织 和 分 类 。 要 想 在 故障 或 灾难 恢复 中 有 用 ， 备 份 必须 包括 可 能 丢失 的 
所 有 数据 。 对 于 提供 成 百 上 千 个 信息 服务 项 目的 企业 ， 有 的 数据 会 与 其 他 部 门 共享 ， 要 
确定 “正确 的 ”备份 目标 数据 组 可 能 是 一 项 非常 复杂 的 任务 。 

(2) 资源 使 用 和 数据 实时 之 间 的 平衡 。 备 份 频率 本 质 上 是 资源 消耗 (网 络 和 输入 / 
输出 带宽 、 处 理 器 容量 、 磁 带 和 磁带 库 硬件 、 应 用 程序 接 入 等 ) 和 数据 实时 需求 的 彼此 
消长 。 在 提供 众多 信息 服务 的 企业 中 ， 找 到 备份 频率 和 资源 消耗 之 间 的 平衡 并 非 易 事 。 

(3) 平 台 和 数据 管理 器 。 提 供 众多 信息 服务 的 企业 ,很 可 能 使 用 多 个 数据 管理 器 ( 文 
件 系统 以 及 数据 库 管理 系统 )》 每 个 管理 器 都 有 自己 的 目标 数据 备份 机 制 。 要 将 这 些 机 制 
整合 为 一 种 方案 ， 提 供 所 有 必要 服务 数据 的 一 致 性 备份 ， 并 保持 数据 随 服务 变化 而 实时 
更 新 。 这 样 的 备份 是 一 项 巨大 的 系统 工程 。 

(4) 技术 选择 。 企 业 对 应 用 程序 连续 可 用 性 的 要 求 与 日 俱 增 。 现 有 的 各 种 备份 机 制 
使 企业 能 用 最 少 的 停机 时 间 实 现 一 致 性 数据 备份 。 如 何 选 择 并 实施 备份 技术 ， 也 将 是 一 
项 复杂 的 任务 。 

(5) 业务 限制 。 业 务 和 法 规 可 能 要 求 将 数据 保留 多 年 ， 企 业 的 数据 备份 和 存档 介质 
可 能 多 达 上 万 个 ， 管 理 如 此 众多 的 介质 的 程序 本 身 就 十 分 复杂 。 

(6) 地 理 位 置 。 从 业务 角度 考虑 ， 可 能 需要 服务 器 和 数据 位 于 多 个 分 散 的 位 置 ， 多 
个 数据 中 心 均 保持 一 套 统一 的 备份 程序 ， 这 需要 周密 的 设计 和 细致 的 管理 。 

企业 在 制定 数据 备份 策略 时 ， 必 须 考 虑 到 以 上 所 有 因素 。 

从 概念 上 看 ， 备 份 很 简单 。 系 统管 理 员 判 断 哪些 数据 很 重要 ， 确 定 对 系统 运行 影响 
较 少 的 备份 计划 ， 并 采用 备份 管理 器 软件 进行 实际 的 备份 操作 。 备 份 被 保存 在 一 个 安全 
的 地 方 ， 因 此 可 以 用 来 进行 故障 恢复 。 备 份 应 当 保 存在 远离 数据 中 心 的 地 方 ， 以 保证 灾 
后 的 可 恢复 性 。 理 论 上 ， 备 份 的 确 很 简单 ， 但 其 复杂 性 体现 在 如 下 细节 中 。 

(1) 数量 的 负担 : 在 大 型 数据 中 心 ， 系 统管 理 员 必须 备份 不 同类 型 的 众多 服务 器 上 
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的 数据 ， 这 就 有 很 多 工作 需要 执行 和 管理 ， 而 且 需 要 针对 每 一 个 平台 ， 开 发 和 维护 不 同 
的 备份 技巧 和 经 验 。 

(2) 可 靠 的 执行 : 系统 管理 员 必须 确保 实际 执行 了 预定 的 备份 。 在 繁忙 的 数据 中 心 ， 
运营 压力 可 能 使 执行 这 样 的 备份 比 说 起 来 要 难得 多 ， 因 为 除非 灾祸 降临 ， 企 业 不 会 有 备 
份 这 样 的 业务 需求 。 如 果 有 更 紧急 和 压力 更 大 的 业务 需求 ， 繁 忙 的 系统 操作 人 员 就 很 容 
易 忽 视 备份 工作 。 

(3) 介质 处 理 错误 : ” 随 着 企业 的 不 断 成 熟 ， 备 份 磁带 或 其 他 备份 介质 的 拥有 量 也 
会 不 可 避免 地 增加 。 特 别 是 操作 员 在 处 理 这些 备 份 介质 时 ， 难 免 会 出 现 滥用 、 毁 坏 、 丢 
失 或 者 覆盖 等 情况 。 

(4) 恢复 执行 的 压力 : 当 在 线 数据 丢失 ， 需 要 从 备份 中 恢复 时 ， 情 景 往往 十 分 紧张 。 
在 有 压力 的 情形 下 ， 执 行 很 少 练习 的 恢复 程序 ， 使 应 用 程序 重新 上 线 ， 会 很 容易 出 现 错 
误 操 作 ， 如 装 错 恢复 介质 ， 或 者 超过 恢复 保护 点 ， 造 成 恢复 时 间 延 长 、 错 误 恢复 ， 甚 至 
完全 不 能 恢复 数据 等 。 

因此 ， 尽 管 备份 从 本 质 上 是 重要 目标 数据 的 拷贝 制作 和 操作 过 程 ， 而 拷贝 则 是 整个 
企业 备份 中 的 最 简单 操作 ， 但 它 却 比 可 靠 的 备份 排 程 、 程 序 自动 化 、 错 误 处 理 以 及 介质 
管理 都 重要 得 多 。 除 此 之 外 ， 最 重要 的 一 点 是 : 尽 一 切 可 能 去 减少 上 述 程序 的 人 工 干 扰 
(实现 备份 自动 化 )。 

备份 的 唯一 目标 就 是 ， 在 故障 或 者 灾难 发 生 后 ， 信 息 服务 能 够 恢复 。 因 此 ， 制 定 备 
份 策略 时 要 从 企业 的 恢复 需求 入 手 。 比 如 ， 某 个 订单 处 理 系统 允许 有 8 小 时 的 宕 机 时 
间 ， 而 不 会 对 其 业务 产生 严重 影响 ， 那 么 采用 增 量 备份 策略 也 许 是 合适 的 。 增 量 备 份 的 
特点 是 较 短 的 备份 时 间 ， 但 恢复 时 间 相 对 较 长 。 对 于 互联 网 上 的 零售 业务 来 说 ， 哪 怕 一 
分 钟 的 停机 都 意味 着 永久 性 的 销售 损失 。 更 适合 这 种 信息 服务 的 备份 策略 应 当 是 : 即使 
较 大 程度 地 牺牲 应 用 性 能 ， 也 要 实时 复制 数据 。 


9.2.2 企业 数据 存储 与 备份 技术 


1. 企业 备份 结构 的 组 件 


要 了 解 企业 备份 技术 ， 首 先 要 了 解 备份 的 主要 功能 组 件 。 图 9-6 展示 了 一 个 企业 备 
份 结构 中 的 四 大 功能 组 件 。 

(1) 备份 客户 端 ( 通 常 简称 为 客户 端 )。 我 们 把 需要 备份 数据 的 任何 计算 机 都 称 做 
备份 客户 端 。 这 个 定义 可 能 让 人 糊涂 ， 因 为 企业 备份 的 客户 端 通常 是 指 应 用 程序 、 数 据 
库 或 文件 服务 器 。 实 际 上 ， 备 份 客户 端 也 用 来 表示 能 从 在 线 存 储 设备 上 读 取 数 据 并 将 数 
据 传送 到 备份 服务 器 的 软件 组 件 。 

(2) 备份 服务 器 〈 通 常 简称 服务 器 )。 它 是 指 将 数据 拷贝 到 备份 介质 并 保存 历史 备 
份 信息 的 计算 机 系统 。 有 些 企 业 备 份 管理 器 将 备份 服务 器 分 成 两 类 。 

(3) 主 备份 服务 器 〈Master Server)。 这 类 备份 服务 器 用 于 安排 备份 和 恢复 工作 ， 并 
维护 备份 编 录 (备份 编 录 用 以 描述 什么 数据 保存 在 什么 介质 上 )。 用 来 执行 以 上 功能 的 软 
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件 通常 称 为 备份 管理 器 。 

(4) 介质 服务 器 : (Media Server)。 这 类 备份 服务 器 按照 主 备份 服务 器 的 指令 将 数据 
拷贝 到 备份 介质 上 。 备 份 存储 单元 通常 与 介质 服务 器 相连 。 

(5) 备份 存储 单元 : 它们 是 数据 磁带 、 磁 盘 或 光盘 ， 通 常 由 介质 服务 器 控制 和 管理 
(磁带 ”这 个 词 通 指 任何 用 于 离线 存储 数据 的 记录 介质 ， 原 因 是 到 目前 为 止 ， 数 据 磁带 
仍然 是 计算 机 领域 最 常用 的 存储 介质 )。 


备份 客户 端 和 人 
(应 用 服务 器 ) 器 存储 单元 


计 
令 开始 备份 
备份 数据 


图 9-6 企业 备份 的 功能 组 件 


备份 是 主 备 份 服务 器 、 备 份 客户 端 和 介质 服务 器 三 方 协作 的 过 程 。 

(1) 主 备份 服务 器 根据 预先 设 定 的 备份 安排 ， 启 动 并 监控 备份 工作 。 主 备份 服务 器 
根据 预先 制定 的 策略 和 当前 的 条 件 为 每 个 备份 任务 选择 一 个 介质 服务 器 。 

(2) 有 数据 需要 备份 的 客户 端 执行 备份 任务 时 ， 将 要 备份 的 数据 从 它 的 在 线 卷 传送 
到 指定 的 介质 服务 器 ， 同 时 将 实际 备份 过 的 文件 列表 传送 至 主 备份 服务 器 。 

(3) 介质 服务 器 选择 一 个 或 多 个 备份 存储 单元 ， 选 择 并 加 载 介质 ， 通 过 网 络 接收 客 
户 端 数据 ， 并 将 数据 写 入 存储 介质 中 。 

同样 ， 要 从 备份 恢复 数据 。 

(1) 客户 端 请 求 主 备份 服务 器 恢复 特定 备份 的 数据 。 

(2) 主 备份 服务 器 确定 由 哪个 备份 介质 服务 器 来 监控 被 请 求 的 备份 ， 然 后 命令 该 介 
质 服 务 器 执行 恢复 操作 。 

(3) 介质 服务 器 查找 并 安装 包含 恢复 数据 的 备份 介质 〈 可 能 需要 人 工 协助 )， 然 后 
将 数据 发 送 到 请 求 恢复 的 客户 端 。 

(4) 备份 客户 端 接收 来 自 介质 服务 器 的 数据 ， 并 将 数据 写 入 本 机 文件 系统 。 


2. 根据 企业 需求 扩展 备份 体系 机 构 


在 小 型 系统 中 ， 三 大 备份 功能 通常 在 一 个 应 用 服务 器 中 运行 。 介 绍 模块 化 备份 体系 
结构 的 目的 是 希望 大 家 了 解 ， 随 着 企业 运营 的 增长 或 需求 的 变化 ， 每 一 种 功能 可 以 迁移 
到 特定 服务 器 ， 而 无 需 中 断 预先 设 定 的 备份 程序 。 
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可 扩展 备份 体系 结构 具有 的 两 大 优势 。 

(1) 中 心 控制 : 主 备 份 服务 器 为 整个 企业 维护 备份 计划 和 数据 编目 。 单 点 控制 意味 
着 单个 管理 团队 就 能 管理 所 有 备份 操作 。 当 然 ， 该 主 备份 服务 器 应 当 是 一 个 集群 ， 这 样 ， 
当 某 台 计 算 机 发 生 故 障 时 ， 就 不 会 出 现 企业 不 能 恢复 数据 的 窘迫 局 面 。 此 外 ， 从 增强 灾 
难 的 恢复 性 来 看 ， 备 份 目录 应 在 广泛 的 区 域内 进行 复制 。 

(2) 资源 的 扩展 与 共享 : 介质 服务 器 可 以 随时 随地 添加 到 系统 。 而 磁带 机 ， 特 别 是 
与 自动 介质 库 合 并 使 用 时 ， 资 源 成 本 相当 高 且 使 用 频率 较 低 。 因 此 ， 从 经 济 角度 考虑 ， 
几 个 应 用 程序 服务 器 共享 这 些 设备 极 具 诱惑 力 。 

正如 图 9-7 所 述 ， 分 布 式 备份 体系 结构 不 仅 可 以 最 小 化 管理 成 本 ， 还 能 优化 利用 昂 
贵 的 硬件 资源 。 但 随 着 企业 网 络 流量 的 增加 ， 相 应 的 成 本 也 会 上 升 。 目 前 有 几 种 技术 可 
以 最 小 化 备份 对 在 线 操作 的 影响 ， 但 不 可 避免 的 是 ， 大 量 数据 必须 在 不 适当 的 时 候 从 备 
份 客户 端 到 转移 到 备份 服务 器 。 企 业 为 分 布 式 数据 中 心 设计 备份 体系 结构 时 ， 必 须 评估 
分 布 式 备 份 对 网 络 流量 的 影响 (图 9-7)， 从 而 做 如 下 决定 。 


总 


全 备份 (基准 ) 增 量 备份 基于 基准 的 改动) 
9-7 全 备份 和 增 量 备份 之 间 的 差异 示意 图 


(1) 应 用 和 备份 流量 共享 企业 网 络 。 

(2) 基于 主机 备份 的 专用 备份 网 络 。 

(3) 使 用 存储 区 域 网 备份 流量 。 

(4) 通过 直接 连接 到 应 用 服务 器 的 介质 服务 器 ， 进 行 本 地 备份 。 


9.2.3 ”企业 备份 策略 


1. 企业 备份 数据 选择 


决定 什么 数据 需要 备份 ， 不 仅 需 要 了 解 企业 的 运营 策略 ， 还 需要 了 解 计算 机 系统 的 
操作 。 有 效 的 备份 策略 应 当 可 以 区 分 很 少 变化 的 数据 和 经 常 变化 的 数据 ， 并 且 对 后 者 的 
备份 要 比 对 前 者 的 备份 更 频繁 。 

需要 备份 的 数据 可 以 文件 列表 的 形式 表示 。 对 于 较 大 的 或 者 特别 活跃 的 文件 系统 ， 
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较为 理想 的 备份 方法 通常 是 对 某 个 或 多 个 目录 树 的 全 部 内 容 进行 备份 。 这 样 ， 就 不 需要 
在 备份 策略 说 明 中 反映 备份 内 容 的 增 减 。 

备份 说 明 甚 至 可 能 更 复杂 。 有 时 会 使 用 排除 列表 来 表示 备份 策略 ， 排 除 列表 是 不 需 
要 备份 的 文件 或 目录 的 指定 列表 ， 备 份 时 ， 这 个 列表 中 的 文件 或 目录 会 被 忽略 ， 不 进行 
备份 。 


2. 企业 数据 备份 方式 的 选择 


决定 何 时 备份 也 需要 了 解 企业 运营 策略 和 计算 机 系统 的 操作 。 系 统管 理 员 必 须 平衡 
可 以 接受 的 最 长 备份 周期 (用 以 决定 最 坏 情 况 下 有 多 少 个 小 时 的 数据 更 新 需要 通过 其 他 
方式 重建 ) 和 备份 资源 消耗 对 信息 服务 的 影响 之 间 的 关系 。 

如 果 不 考虑 资源 消耗 ， 很 明显 ， 备 份 策略 就 应 当 持 续 备 份 所 有 的 在 线 数据 一 一 对 每 
个 文件 的 每 次 变化 进行 全 部 拷贝 。 然 而 ， 考 虑 资源 消耗 时 ， 持 续 备 份 就 会 消耗 大 量 的 处 
理 、 输 入 /输出 、 网 络 容量 ， 以 及 大 量 的 存储 空间 和 编 录 空间 ， 从 而 负面 影响 备份 成 本 和 
系统 性 能 。 在 这 种 情况 下 ， 备 份 的 时 间 安 排 通常 应 对 信息 服务 的 影响 最 小 。 对 于 能 够 预 
料 繁忙 和 空闲 时 期 的 信息 服务 ， 备 份 时 间 比 较 容易 安排 。 然 而 ， 通 常情 况 是 ， 很 多 服务 
很 难 预 料 空闲 期 ， 这 样 ， 企 业 就 必须 寻找 尽量 减少 备份 资源 消耗 的 方法 ， 使 备份 和 在 线 
信息 服务 同时 进行 。 

表面 上 看 ， 将 数据 备份 到 何 处 这 一 问题 似乎 很 简单 。 备 份 客户 端 是 数据 的 来 源 ， 目 
的 地 是 某 个 (或 几 个 ) 介质 服务 器 。 但 对 介质 服务 器 的 选择 会 因 商业 周期 、 设 备 可 用 性 
或 其 他 考虑 因素 的 不 同 而 不 同 。 通 常 ， 主 备份 服务 器 软件 追踪 每 一 客户 端的 备份 任务 执 
行情 况 ， 并 动态 选择 介质 服务 器 ， 动 态 选择 根据 备份 设备 的 可 用 性 、 相 对 负载 以 及 是 否 
符合 选择 标准 而 定 。 

利用 企业 备份 管理 器 ， 用 来 执行 特定 备份 任务 的 备份 设备 ， 通 常 由 介质 服务 器 根据 
系统 管理 员 制 定 的 备份 策略 进行 动态 选择 。 

备份 介质 也 用 类 似 的 方法 进行 管理 。 企 业 备份 管理 器 根据 分 配 策略 来 管理 介质 ， 每 
个 介质 池 都 有 一 个 或 多 个 预定 的 备份 任务 。 介 质 服务 器 通常 会 根据 平均 使 用 (以 及 磨损 ) 
存储 介质 的 运算 法 则 ， 从 某 个 任务 的 介质 池 中 选取 可 用 介质 进行 备份 操作 。 介 质 管理 器 
也 负责 介质 的 清洁 和 介质 退 废 的 时 间 安 排 ， 并 追踪 介质 的 物理 位 置 。 


3. 备份 策略 


备份 策略 的 参数 如 下 。 

(1) 备份 客户 端 。 

(2) 文件 和 目录 列表 。 

(3) 合格 介质 服务 器 、 介 质 类 型 与 介质 池 、 设 备 组 。 

(4) 信息 排 程 。 

以 上 参数 通常 会 综合 考虑 ， 抽 象 地 称 为 备份 策略 。 备 份 策略 通常 还 包括 诸如 相对 于 
其 他 策略 的 优先 级 特征 等 。 主 备份 服务 器 管理 企业 的 备份 策略 ， 并 与 客户 端 和 介质 服务 
器 协作 ， 启 动 、 监 控 和 记录 预定 备份 等 。 
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4. 增 量 备份 


(1) 全 备份 和 增 量 备份 

在 大 多 数 企 业 信息 服务 中 ， 连 续 两 次 备份 之 间 只 有 一 小 部 分 在 线 数据 发 生变 化 。 在 
基于 文件 的 系统 中 ， 只 有 很 小 比率 的 文件 会 变化 。 增 量 各 份 技术 可 充分 利用 这 一 事实 ， 
最 大 限度 地 减少 备份 资源 需求 。 增 量 备份 只 拷贝 上 次 备份 以 后 发 生变 化 的 文件 。 备 份 客 
户 端 可 利用 文件 系统 元 数据 来 确定 哪些 文件 已 经 发 生变 化 ， 并 只 拷贝 这 些 文件 。 

增 量 备份 是 在 全 备份 的 基础 上 增加 ， 而 不 是 蔡 代 全 备份 。 增 量 备份 只 包含 某 一 时 刻 
全 备份 之 后 发 生变 化 的 文件 。 要 从 增 量 备份 中 恢复 一 套 文件 ， 必 须 首先 恢复 此 前 的 全 备 
份 ， 以 建立 基准 ， 然 后 按照 时 间 顺 序 〈 最 早 的 最 先 ) 恢复 增 量 备份 ， 根 据 前 面 建立 的 基 
准 蔡 换 发 生变 化 的 文件 。 增 量 备份 可 以 减少 耗 时 的 全 备份 的 必要 执行 频率 。 

(2) 增 量 备份 的 影响 

如 果 一 个 大 型 文件 系统 中 只 有 很 小 比率 的 文件 在 上 一 次 备份 之 后 发 生变 化 ， 那 么 只 
有 小 比率 的 数据 需要 备份 。 通 常 ， 增 量 备份 完成 的 速度 会 很 快 〈 快 好 几 个 数量 级 )， 而 且 
在 线 信息 服务 的 影响 要 比 全 备份 的 影响 小 得 多 。 

每 个 已 备份 文件 的 每 个 版 本 位 置 的 在 线 编 录 通常 由 企业 备份 管理 器 来 维护 。 从 增 量 
备份 或 全 备份 中 恢复 单个 文件 的 步骤 一 样 一 一 必须 找到 和 安装 包含 该 文件 的 磁带 ， 然 后 
读 取 和 备份 该 文件 。 

然而 ， 灾 难 之 后 要 从 增 量 备 份 中 恢复 整个 文件 的 系统 就 相对 较 复杂 。 首 先 必 须 恢复 
作 基 准 的 全 备份 ， 然 后 按照 时 间 顺 序 恢复 所 有 新 增 的 增 量 备份 。 尽 管 企 业 备 份 管理 器 一 
般 都 指导 管理 员 按照 正确 顺序 安装 介质 ， 但 在 实际 操作 中 ， 全 备份 和 增 量 备份 的 恢复 程 
序 比 理 想 状态 涉及 的 人 力 要 多 ， 以 便 进 行 决策 和 介质 处 理 。 

相对 不 频繁 (如 每 周一 次 ) 的 全 备份 应 安排 在 企业 信息 服务 不 繁忙 《如 周末 ) 的 时 
段 ， 而 相对 频繁 的 增 量 备份 〈 如 每 天 一 次 ) 则 应 安排 在 平时 。 这 样 ， 备 份 对 信息 服务 的 
影响 要 比 全 部 采用 全 备份 策略 小 ， 这 是 因为 每 一 天 的 增 量 备 份 中 只 需 拷贝 很 少 的 数据 。 
但 这 种 备份 的 恢复 时 间 相 对 较 长 ， 而 且 需 要 处 理 更 多 的 介质 。 

图 9-8 显示 了 从 全 备份 和 增 量 中 恢复 整个 文件 系统 的 过 程 。 

(3) 增 量 备份 的 不 同类 型 

增 量 备份 有 两 种 截然 不 同 的 类 型 。 差 异 备份 包含 最 新 任意 类 型 备份 之 后 修改 的 所 有 
文件 拷贝 。 这 样 ， 采 用 “每 周全 备份 和 每 天 差异 备份 ”的 策略 时 ， 通 过 恢复 最 新 的 全 备 
份 ， 然 后 按时 间 顺 序 恢复 每 一 次 新 增 的 差异 备份 ， 即 可 完成 整个 系统 的 恢复 。 越 靠近 周 
末 ， 就 有 越 多 的 增 量 备份 需要 恢复 ， 因 此 完全 恢复 花费 的 时 间 就 越 长 。 

累积 备份 是 最 新 全 备份 之 后 修改 的 所 有 文件 拷贝 。 从 累积 备份 中 恢复 文件 系统 只 需 
要 恢复 最 新 的 全 备份 和 最 新 的 累积 备份 。 从 累积 备份 中 恢复 文件 系统 简单 迅速 ， 但 花费 
的 时 间 较 长 ， 因 为 随 着 时 间 的 推移 ， 相 对 于 最 新 全 备份 以 后 的 改动 越 来 越 多 。 

全 备份 、 累 积 备 份 和 差异 备份 可 以 合并 使 用 ， 以 平衡 备份 对 系统 运行 的 影响 和 文件 
系统 或 数据 库 全 恢复 所 需 时 间 之 间 的 关系 。 
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结果 : 从 备份 恢复 中 得 到 最 
新 的 数据 


a 


中 


国 思 Gg 


完全， 
安 估 的 光 才 


的 时 
比 也 会 在 线 


变 


图 9-8 从 全 备份 和 增 量 中 恢复 整个 文件 系统 的 过 程 


表 9-1 举例 说 明了 合并 使 用 全 备份 、 差 异 备 份 和 累积 备份 这 3 种 备份 方法 的 备份 安 
排 ， 以 此 平衡 备份 时 间 和 恢复 复杂 性 之 间 的 关系 。 在 这 种 情况 下 ， 要 获得 最 新 数据 的 恢 
复 ， 最 多 只 需要 5 次 备份 〈 可 以 恢复 到 星期 六 差异 备份 结束 时 的 数据 )。 


表 9-1 周 备份 策略 


星期 日 用 星期 日 全 备 | 星期 一 备份 星期 日 全 备 | 星期 三 备 从 星期 四 备份 星期 五 备份 
备份 数据 储 的 完 竟 份 之 后 改 击 之 后 改动 的 份 之 后 改 弄 之 后 改动 的 之 后 改动 的 后 改动 的 文件 
数据 库 ”| 的 文件 文件 的 文件 文件 六 件 


企业 备份 管理 器 一 般 允 许 系 统管 理 员 制 定 与 表 9-1 类 似 的 自动 备份 计划 。 利 用 自动 
磁带 库 ， 预 定 备份 能 够 完全 自动 化 。 一 旦 备份 策略 制定 好 ， 备 份 过 程 就 不 需要 系统 管理 
员 或 者 计算 机 操作 人 员 的 手工 介入 。 


9.2.4 数据 库 备份 


数据 库 管理 系统 一 般 能 够 进行 时 间 点 数据 库 的 备份 。 所 采用 技术 类 似 于 文件 系统 快 
照 。 暂 停 数 据 库 活动 ， 旨 在 启动 并 继续 备份 。 备 份 过程 中 应 用 程序 的 更 新 ， 会 保存 以 前 
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更 新 的 内 容 。 换 名 话说， 备份 程序 读 取 以 前 的 镜像 ， 其 他 的 所 有 应 用 程序 读 取 实 时 目标 
数据 内 容 。 

以 这 种 方式 进行 的 备份 是 备份 启动 时 间 点 的 数据 库 内 容 。 这 种 备份 技术 通常 称 为 数 
据 库 热 备份 ， 被 企业 大 力 推崇 和 广泛 采用 。 有 些 企业 备份 管理 器 可 以 与 数据 库 管理 器 备 
份 设施 集成 ， 这 样 数据 库 热 备份 就 成 为 企业 整体 备份 策略 的 组 成 部 分 。 数 据 库 热 备 份 可 
以 明显 地 增加 数据 库 的 输入 /输出 ， 其 原因 有 两 个 方面 ， 一 是 因为 备份 本 身 ， 二 是 因为 保 
存 了 以 前 的 目标 数据 库 镜 像 。 


1. 快照 和 数据 库 备份 


有 些 企业 备份 管理 器 还 可 以 通过 从 文件 系统 快照 中 拷贝 数据 ， 以 最 小 的 开销 ， 进 行 
数据 库 某 个 时 间 点 的 一 致 性 热 备 份 。 其 中 每 个 快照 都 代表 了 某 个 时 间 点 数据 库 数据 的 镜 
像 。 快 照 或 者 采用 随 写 随 拷贝 (copy on write)， 或 者 采用 在 线 镜像 分 离 出 来 的 数据 库 卷 
的 完整 镜像 拷贝 方式 。 

当 数 据 库 没有 处 理 数据 ， 并 且 所 有 高 速 缓存 数据 都 写 入 磁盘 时 ， 应 立即 启动 用 于 数 
据 库 备 份 目的 的 快照 操作 。 因 此 快照 开始 之 前 ， 需 要 和 暂停 数据 库 操作 。 当 数据 库 暂 停 时 ， 
文件 系统 快照 便 即 时 启动 ( 花 几 秒 钟 时 间 ), 随后 数据 库 可 以 重新 启动 , 供应 用 程序 使 用 。 
快照 几乎 (但 不 完全 ) 不 需要 数据 库 备 份 窗口 。 全 备份 和 增 量 备份 都 可 以 通过 快照 进行 。 

如 图 9-9 所 示 ， 有 些 文 件 系统 可 以 进行 多 次 快照 。 尽 管 数据 更 新 时 每 一 次 快照 都 会 
占用 存储 空间 和 输入 /输出 资源 ， 但 这 种 快照 为 数据 库 管理 员 提 供 了 灵活 的 备份 选择 。 而 
且 有 些 集成 备份 管理 器 能 从 快照 中 将 数据 块 更 改 以 前 的 镜像 写成 主 数据 库 镜像 ， 以 “ 滚 
回 ” 快 照 时 的 数据 库 状 态 。 


以 前 的 镜像 


数据 库 可 以 在 着 > _ 


或 二 时 间 点 进行 备份 
或 者 深 回 T,,T> 或 T:, 时 间 的 状态 


9-9 多 次 快照 和 数据 库 滚 回 


2. 块 级 增 量 备份 


尽管 增 量 备份 对 于 基于 文件 的 应 用 程序 十 分 有 用 ， 但 在 数据 库 中 的 用 处 却 十 分 有 
限 。 数 据 库 一 般 将 数据 存储 在 少数 几 个 大 型 主 数据 库 中 ， 大 部 分 容器 文件 会 随 着 数据 库 
的 更 新 频繁 变化 (虽然 只 是 轻微 变化 )。 因 此 ， 即 使 只 有 很 少 一 部 分 数据 在 最 新 备份 之 后 
发 生 了 变化 ， 拷 贝 每 个 文件 的 全 部 变化 的 增 量 备份 也 很 可 能 包括 数据 库 中 的 所 有 容器 
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文件 。 

然而 ， 随 写 随 拷 贝 快照 可 以 准确 识别 “快照 ”之 后 发 生变 化 的 数据 库容 器 文件 数据 
块 快照 本 身 包 含 该 数据 块 的 以 前 内 容 。 而 主 数据 库 则 包含 快照 之 后 发 生变 化 的 数据 (在 
对 应 的 数据 块 地 址 中 )。 有 些 企业 备份 管理 器 可 以 利用 快照 数据 块 地 址 ， 来 创建 数据 库 的 
块 级 增 量 备份 ， 如 图 9-10 所 示 。 


被 更 改 数据 块 地 区 
显示 哪些 数据 块 
需要 备份 


一 应 用 程序 更 
应 用 程序 更 


加 用 于 备份 的 数据 从 数 | 
由 据 库 “镜像 ”中 读 取 
强 而 不 从 快照 中 读 取 ) 


图 9-10 采用 “无 数据 ”快照 的 块 级 增 量 备份 


块 级 增 量 备份 只 包括 快照 后 修改 的 数据 库 块 。 如 果 数 据 库 中 只 有 很 小 比率 的 数据 被 
更 新 ， 块 级 增 量 备份 的 数据 量 也 相应 很 小 。 与 数据 库 全 备份 相 比 ， 块 级 增 量 备份 一 般 只 
需要 很 少 的 备份 时 间 ， 以 及 很 少 的 存储 和 输入 /输出 带宽 。 

与 文件 系统 增 量 备份 相似 ， 块 级 增 量 备份 也 是 基准 全 备份 的 相对 概念 。 要 从 块 级 增 
量 备份 中 恢复 整个 数据 库 ， 必 须 首先 恢复 数据 库 的 全 备份 ， 然 后 按照 时 间 顺 序 恢复 新 增 
的 所 有 块 级 增 量 备份 。 

为 了 大 幅 减 小 备份 的 影响 ， 块 级 增 量 备份 鼓励 数据 库 管理 员 更 频繁 地 安排 备份 。 频 
繁 备份 不 仅 可 以 减少 资源 需求 〈 输 入 /输出 和 存储 容量 )， 还 能 使 数据 库 恢 复 到 更 接近 故 
障 发 生 时 间 点 的 状态 。 


3. 存档 


随 着 时 间 的 推移 ， 企 业 保 存 的 历史 数据 会 不 断 增长 。 月 度 、 季 度 、 年 度 报表 ,销售 、 
生产 、 发 货 和 服务 记录 ， 以 及 其 他 数据 必须 保留 ， 但 通常 情况 下 ， 历 史 数 据 不 需要 在 线 。 
这 类 数据 可 以 存档 处 理 。 从 功能 的 角度 看 ， 存 档 和 备份 是 相同 的 。 存 档 是 把 指定 的 文件 
按照 预定 的 时 间 计划 拷贝 到 备份 介质 ， 然 后 进行 编目 ， 以 便 日 后 查询 。 然 而 ， 存 档 与 备 
份 的 不 同 之 处 在 于 : 一 旦 存档 任务 完成 ， 被 存档 的 文件 将 从 硬盘 上 删除 ， 释 放 其 占用 的 
磁盘 空间 ， 以 做 他 用 。 

这 样 一 个 文件 系统 : 数据 库 表 占用 了 一 个 编目 ， 每 月 的 汇总 表 和 报告 信息 占用 了 另 
一 个 编目 。 正 如 前 面 章 节 所 述 ， 数 据 库 编目 安排 了 定期 备份 。 月 汇总 编目 下 的 数据 的 使 
用 次 数 十 分 有 限 ,但 根据 规定 必须 保留 。 因 此 ,包含 月 汇总 数据 的 编目 安排 了 定期 存档 。 

一 旦 该 编目 中 的 文件 拷贝 到 存档 介质 ， 月 汇总 编目 下 的 文件 就 会 被 删除 ， 所 占用 的 
空间 会 被 释放 ， 该 空间 一 般 会 留 给 下 一 个 月 的 汇总 数据 。 利 用 自动 介质 库 ， 存 档 可 以 自 
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动 完成 ， 除 非特 殊 情 况 发 生 ， 通 常 不 需要 手工 介入 。 
9.2.5 备份 管理 器 技术 性 能 


1. 多 路 备份 (Multiplexed Backup) 


在 分 布 式 信息 服务 的 企业 中 ， 有 以 下 几 个 变量 会 影响 备份 的 速度 。 

(1) 客户 端的 负载 : 应 用 服务 器 忙于 处 理 其 他 工作 时 ， 可 能 会 使 备份 客户 端 不 能 快 
速 地 获取 数据 ， 从 而 导致 数据 备份 过 程 处 于 不 饱和 状态 。 

(2) 网 络 的 负载 : 当 网 络 流量 被 应 用 程序 数据 主导 时 ， 备 份 客户 端 就 不 能 快速 地 传 
送 数 据 从 而 导致 介质 服务 器 或 磁带 机 处 于 不 饱和 状态 。 

(3) 介质 服务 器 的 负载 : 介质 服务 器 有 可 能 忙于 其 他 备份 任务 〈 或 其 他 工作 ， 如 果 
它 同 时 也 是 应 用 服务 器 的 话 )， 从 而 导致 磁带 机 处 于 不 饱和 状态 。 

(4) 磁带 机 的 数据 传输 速率 : 如 果 数 据 传输 速度 赶不上 磁带 机 的 数据 流 〈 即 磁带 一 
边 前 进 ， 磁 头 一 边 写 数据 ) 速度 ， 磁 带 机 的 性 能 就 会 大 幅 降低 。 如 果 磁 带 机 传输 的 数据 
流出 现 短暂 中 断 ， 当 重新 配置 磁带 机 本 身 时 就 会 出 现 更 长 时 间 的 数据 流 中 断 。 

除 此 之 外 ， 有 效 利用 介质 是 备份 应 当 考虑 的 一 个 重要 问题 。 高 容量 磁带 的 容量 通常 
是 硬盘 容量 的 2 一 4 倍 。 频 繁 的 增 量 备份 会 造成 许多 小 的 备份 数据 集 ， 每 个 数据 集会 占用 
一 小 部 分 磁带 容量 。 这 样 ， 不 仅 由 于 磁带 未 被 充分 使 用 而 造成 成 本 增加 ， 而 且 介质 库 中 
备份 磁带 增加 更 容易 导致 操作 错误 。 

为 了 优化 磁带 机 的 性 能 (同时 尽量 减 小 数据 备份 过 程 对 性 能 参数 的 负面 影响 )， 以 
及 提高 介质 的 有 效 使 用 ， 一 些 企业 的 备份 管理 器 可 以 进行 多 路 备份 ， 换 句 话 说 ， 就 是 将 
几 个 同时 备份 的 数据 块 交错 写 入 同一 张 磁带 中 。 数 据 流 的 多 路 备份 可 以 弥补 客户 端 数据 
传输 缓慢 、 网 络 繁忙 ， 以 及 网 络 和 磁带 机 速度 不 匹配 的 诸多 不 足 。 当 多 路 备份 数据 流 交 
错 写 入 时 ， 数 据 流 的 每 个 数据 块 都 会 标 上 任务 识别 符 ， 这 样 它们 就 可 以 在 恢复 过 程 中 被 
正确 识别 。 

随 着 更 多 数据 集中 到 备份 服务 器 上 ， 写 入 磁带 的 数据 流 会 增加 ， 整 个 数据 中 心 的 备 
份 吞吐 量 也 会 提高 。 由 于 好 几 个 备份 任务 的 数据 都 写 在 同一 盘 磁 带 中 ， 介 质 的 使 用 率 也 
会 提高 。 恢 复 多 路 备份 的 单个 文件 或 文件 系统 时 ， 介 质 服 务 器 可 以 从 备份 介质 中 过 滤 出 
数据 块 。 因 此 ， 从 多 路 备份 磁带 中 恢复 数据 自然 要 比 从 包含 单一 数据 流 的 磁带 中 恢复 数 
据 花 费 的 时 间 长 。 但 用 户 通常 并 不 关心 备份 是 否 交叉 〈 多 路 ) 进行 。 


2. 并 行 备 份 (Parallel Backup) 


在 具有 高 性 能 网 络 和 大 容量 存储 空间 的 系统 中 ， 大 规模 的 备份 任务 可 以 通过 把 数据 
分 散 到 几 个 磁带 同时 进行 备份 的 方法 来 提高 速度 。 这 种 并 行 备份 的 方法 非常 高 效 ， 特 别 
是 通过 快照 对 大 型 数据 库 进 行 全 备份 时 ， 效 果 更 为 明显 。 每 个 备份 任务 一 次 只 处 理 一 个 
文件 。 如 果 快 照 文件 的 备份 可 以 分 成 多 个 备份 任务 同时 执行 ， 则 可 以 一 次 性 激活 多 个 数 
据 流 ， 而 且 如 果 多 个 网 络 连接 都 可 以 使 用 ， 这 几 个 数据 流 就 可 以 占用 多 个 网 络 连接 。 根 
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据 客户 端 ”、 网络、 服务 器 以 及 磁带 机 的 相对 速度 ， 来 确定 采用 不 同 的 磁带 机 进行 并 行 备 
份 ， 还 是 采用 一 盘 磁 带 进行 多 路 备份 。 


3. 快 内 备份 Flash Backup) 


所 谓 快 内 备份 就 是 将 文件 系统 占用 的 所 有 磁盘 数据 块 一 次 性 读 取 ， 然 后 不 间断 地 写 
入 磁带 中 ， 其 中 包括 没有 指派 给 文件 的 数据 块 。 常 规 的 备份 管理 器 在 备份 时 ， 打 开 要 备 
份 的 文件 ， 然 后 逐个 拷贝 ， 结 果 是 文件 系统 的 输入 /输出 开销 非常 大 。 快 内 备份 能 够 尽 可 
能 快 地 读 取 磁 盘 块 内 容 ， 而 不 管 这 些 数据 块 代表 用 户 数据 、 文 件 系统 元 数据 还 是 代表 未 
被 分 配 的 空间 。 

要 从 快 闪 备份 中 检索 文件 ， 备 份 管理 器 必须 重建 文件 系统 元 数据 ， 然 后 从 磁带 上 的 
潜在 分 散 区 域 检索 该 文件 。 由 于 数据 是 在 恢复 时 而 不 是 在 备份 时 被 重建 ， 因 此 快 闪 备 份 
的 速度 特别 快 ， 但 恢复 的 时 间 却 比 较 长 。 

很 少 有 人 使 用 的 文件 系统 通常 不 适合 采用 快 闪 备份 ， 因 为 快 闪 备 份 会 把 未 分 配 的 磁 
盘 空 间 的 内 容 和 数据 一 起 拷贝 。 快 闪 备份 最 适合 包含 大 量 小 文件 的 系统 ， 因 为 在 常规 备 
份 中 ， 这 些小 文件 会 引发 系统 的 巨大 输入 /输出 开销 。 


4. 备份 管理 器 的 性 能 选择 


备份 管理 器 的 性 能 会 对 备份 产生 积极 和 消极 影响 。 企 业 选 择 备 份 管理 器 时 应 当 考 虑 
备份 管理 器 的 性 能 。 尽 管 不 同 企业 对 不 同性 能 有 不 同 的 权重 ， 但 以 下 性 能 应 当 认真 考虑 
而 不 应 忽略 。 

(1) 有 效 利用 硬件 。 磁 带 机 的 设计 是 为 了 尽 可 能 长 时 间 的 使 用 并 提供 更 优 的 性 能 。 
如 果 备 份 管理 器 既 能 支持 多 路 备份 独立 数据 流 ， 又 能 支持 并 行 备 份 某 个 高 速 数据 流 ， 那 
么 就 可 以 调整 备份 程序 ， 以 适应 全 方位 的 应 用 需求 、 硬 件 和 网 络 设施 以 及 不 断 变 化 的 环 
境 等 。 

(2) 热 备 份 。 可 以 在 应 用 程序 访问 数据 库 和 文件 系统 时 进行 热 备 份 。 

(3) 开放 式 磁带 格式 。 可 以 将 备份 数据 写 到 不 需要 特殊 软件 或 授权 就 可 以 读 取 或 恢 
复 的 磁带 中 。 特别 是 灾难 恢复 期 间 ， 压 力 很 大 ,恢复 站 点 和 数据 中 心 又 相隔 一 定 距离 时 ， 
要 是 延期 获得 恢复 磁带 的 特殊 许可 或 软件 ， 就 会 延长 平均 恢复 时 间 。 

(4) 统一 管理 。 原 则 上 ， 统 一 管理 可 以 从 一 个 控制 台 管理 整个 企业 的 备份 。 企 业 备 
份 管理 器 应 当 支 持 可 扩展 备份 体系 结构 的 集中 管理 功能 。 

(5) 快速 灾难 恢复 。 有 些 备份 管理 器 可 以 通过 扫描 备份 磁带 内 容 来 重建 编目 。 尽 管 
在 某 些 极端 情况 下 ， 这 个 功能 十 分 有 用 ， 但 它 只 应 在 万 不 得 已 的 情况 下 使 用 ， 企 业 应 当 
避免 采用 带 有 该 功能 的 备份 管理 器 。 因 为 ， 通 过 扫描 大 型 磁带 库 中 的 每 一 张 磁带 来 重建 
编目 ， 会 使 恢复 时 间 增 加 几 个 小 时 甚至 几 天 。 

(6) 硬件 支撑 及 其 灵活 性 。 任 何 大 型 企业 都 不 大 可 能 一 次 性 更 换 它 的 磁带 机 和 备份 
介质 ， 因 此 备份 管理 器 应 当 能 够 同时 支持 新 旧 设备 。 

(7) 广泛 的 平台 支持 。 大 部 分 企业 都 用 不 同类 型 的 服务 器 来 管理 企业 的 重要 数据 。 
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备份 管理 器 应 支持 各 种 计算 机 体系 结构 的 客户 端 功能 ， 而 且 应 能 即时 支持 新 型 操作 系统 
和 设备 。 

(8) 全 面 的 介质 管理 。 人 工 跟踪 数 万 张 磁带 中 的 数 百 万 个 文件 ， 这 样 的 任务 令 人 生 
旦 。 而 人 工 追 踪 每 个 文件 的 存储 时 间 、 具 体位 置 、 使 用 情况 、 介 质 载体 等 详细 信息 更 是 
不 可 思议 。 有 效 的 介质 管理 包括 磁带 标注 、 条 码 管理 、 磁 带 存放 位 置 追踪 、 自 动 控制 以 
及 共享 介质 的 使 用 协调 等 。 

(9) 随 写 随 拷 贝 快照 。 文 件 系统 会 占用 连续 的 磁盘 区 块 。 有 些 磁盘 区 块 包括 描述 其 
他 区 块 的 用 户 数据 的 特征 和 位 置 的 元 数据 。 快 照 技术 能 够 拷贝 用 户 数据 和 元 数据 修改 以 
前 的 镜像 。 这 些 以 前 的 镜像 拷贝 逻辑 上 可 以 与 未 修改 的 数据 合并 ， 使 备份 管理 器 (和 其 
他 应 用 程序 ) 能 够 进行 快照 ， 就 好 像 原 始 文件 系统 及 其 内 容 冻 结 在 某 个 时 间 点 一 样 。 快 
照 技 术 能 够 在 应 用 程序 更 新 数据 时 ， 对 数据 进行 备份 。 


5. 最 小 化 备份 窗口 技术 


(1) “ 热 ” 备 份 

理想 备份 窗口 的 长 度 应 该 为 零 一 一 该 窗口 不 会 使 信息 服务 中 断 。 这 一 功能 可 以 在 有 
些 数据 库 备 份 中 实现 ， 在 文件 系统 备份 中 能 基本 实现 。 

热 备份 的 最 大 挑战 是 保证 数据 的 一 致 性 。 由 于 备份 操作 通常 会 持续 一 段 时 间 ， 而 在 
这 段 时 间 内 ， 应 用 程序 通常 又 会 更 新 数据 。 要 使 热 备 份 产生 数据 的 一 致 性 镜像 ， 就 必须 
将 数据 和 可 能 更 新 数据 的 应 用 程序 完全 隔离 。 

大 多 数 商 用 备份 管理 器 支持 文件 系统 或 数据 库 的 在 线 备 份 或 者 热 备份 。 要 实现 可 靠 
的 热 备份 ， 备 份 管理 器 必须 集成 数据 管理 器 或 数据 正在 被 备份 的 文件 系统 。 只 有 文件 系 
统 、 数 据 库 管 理 器 ， 甚 至 可 提供 应 用 编程 界面 (API) 的 某 些 应 用 程序 整合 起 来 ， 才 能 
让 备份 管理 器 冻结 数据 镜像 ， 以 便 在 数据 使 用 时 进行 数据 备份 ， 获 得 某 一 时 间 点 的 一 致 
性 镜像 。 这 种 备 多 份 技术 针对 每 一 个 应 用 程序 或 数据 管理 器 ， 并 且 备 份 管理 器 必须 配置 
特殊 支持 ， 这 种 支持 通常 通过 名 为 “代理 ”(Agent) 的 备份 管理 器 组 件 来 提供 。 

尽管 热 备 份 可 以 将 应 用 程序 者 的 窗口 减 小 到 零 或 趋 近 于 零 ， 但 热 备 份 对 应 用 、 系 统 
和 网 络 性 能 不 可 避免 地 会 产生 明显 影响 。 采 用 热 备 份 和 前 面 所 讲 的 增 量 备份 或 块 级 增 量 
备份 ， 可 以 最 小 化 备份 的 持续 时 间 和 资源 消耗 

(2) 减 小 数据 备份 影响 的 其 他 技术 

除了 增 量 备份 以 外 ， 至 少 还 有 两 种 其 他 方法 可 以 减少 备份 对 信息 服务 的 影响 。 

脱 机 备份 《OfE-Host Backup)。 在 存储 网 络 中 ， 任 何 服务 器 都 可 以 物理 接 入 任何 数 
据 。 菜 些 备份 管理 器 利用 这 一 特点 ， 在 其 他 服务 器 上 运行 备份 客户 端 软件 接 入 数据 ， 进 
行 备份 。 这 种 备份 方法 通常 叫做 脱 机 备份 。 脱 机 备份 消除 了 备份 客户 端 处 理 负 载 引 起 的 
应 用 性 能 下 降 。 通常， 脱 机 备份 会 和 某 些 形式 的 冻结 镜像 技术 ( 随 写 随 拷贝 或 分 离 镜 像 ) 
合并 使 用 ， 因 此 ， 脱 机 备份 就 是 某 个 时 间 点 的 一 致 性 数据 镜像 。 
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9.3 ”灾难 和 灾难 恢复 计划 


本 节 介 绍 根据 影响 定义 灾难 的 基本 概念 ， 灾 难 影响 分 析 及 灾难 分 类 ， 制 订 灾难 恢复 
计划 和 灾难 恢复 准备 工作 。 


9.3.1 根据 影响 定义 灾难 


灾难 可 以 定义 为 任何 不 可 预知 的 影响 企业 正常 运营 的 事件 (预知 事件 产生 不 可 预知 
的 影响 也 符合 灾难 定义 )。 我 们 最 关注 的 是 灾难 对 企业 正常 运营 造成 的 影响 ， 而 不 是 灾难 
的 性 质 。 对 企业 而 言 ， 灾 难 类 型 和 根源 微乎其微 。 从 灾难 恢复 的 角度 来 看 ， 灾 难 发 生 原 
因 和 灾难 类 型 并 不 重要 ， 真 正 重 要 的 是 灾难 对 企业 正常 运营 产生 的 影响 。 灾 难 影响 的 定 
义 包括 如 下 。 

(1) 范围 一 一 灾难 影响 到 企业 的 哪些 运营 。 

(2) 持续 时 间 一 一 灾难 造成 的 企业 不 能 正常 运营 的 时 间 长 度 。 

(3) 发 生 时 间 一 一 企业 不 能 正常 运营 与 其 他 相关 事件 的 时 间 关 系 。 

灾难 恢复 则 在 减轻 灾难 对 企业 运营 带 来 的 不 良 影响 ， 而 不 管 灾难 发 生 的 原因 是 


灾难 对 企业 运营 影响 的 范围 可 大 可 小 ， 比 如 一 个 天 文 观测 站 ， 观 测 望 远 镜 的 调 焦 系 
统 出 现 故障 在 某 种 意义 上 是 一 种 灾难 。 如 果 这 个 观测 站 有 两 台 或 者 更 多 的 望远镜 ， 由 于 
具有 元 余 功 能 ， 观 测 工作 仍 能 正常 进行 。 然 而 ， 如 果 观 测 站 仅 有 的 一 台 望 远 镜 或 者 调 焦 
系统 发 生 一 定 程度 的 故障 ， 则 该 企业 〈 天 文 观 测 站 ) 的 观测 工作 便 不 能 正常 进行 。 


2. 持续 时 间 


灾难 对 企业 运营 最 明显 的 影响 是 停机 时 间 ， 指 整个 或 局 部 企业 不 能 正常 运营 的 时 
间 。 故 障 时 间 〈 图 9-11 中 的 Ti) 是 指 企 业 不 能 正常 运营 的 开始 时 间 。T, 是 指 企业 从 灾难 
中 完全 恢复 的 时 间 ， 停 机 时 间 是 指 TI 和 T, 之 间 的 时 间 间 隔 。 


图 9-11 停机 时 间 


244 网 络 信息 安全 工程 原理 与 应 用 


3. 发 生 时 间 


直观 地 ， 灾 难 造成 的 停机 时 间 越 短 ， 企 业 的 损失 就 越 小 。 然 而 灾难 的 影响 与 灾难 发 
生 时 间 和 灾难 导致 的 停机 时 间 有 关 。 例 如 ， 在 观测 站 的 例子 中 ， 如 果 望 远 镜 调 焦 系统 发 
生 故 障 的 时 间 正 好 是 艳星 飞 过 地 球 的 时 间 ， 则 故障 对 观测 站 的 影响 要 比 白天 或 宇宙 相对 
平静 时 发 生 故 障 的 影响 大 得 多 。 


4. 灾难 对 信息 服务 的 影响 


灾难 对 企业 信息 服务 的 影响 通常 大 于 对 企业 运营 其 他 方面 的 影响 。 举 例 来 说 ， 如 果 
记录 某 些 活动 的 服务 器 及 其 在 线 存 储 服务 器 同时 在 Ti (图 9-12) 时 间 遭 到 灾难 破坏 ， 灾 
难 影响 将 从 最 近 的 日 志 备份 时 间 To (图 9-12) 持续 到 系统 完全 恢复 时 间 T， (图 9-12)。 
To 和 了 之 间 记 录 的 活动 与 在 线 存 储 一 旦 丢失 ，T 和 T 之 间 的 活动 就 未 被 记录 ， 因 为 日 
志 系 统 无 法 正常 运行 ， 生 成 日 志 。 


Tv T T: 


图 9-12 停机 时 间 和 数据 丢失 


灾难 造成 的 影响 还 与 企业 所 记录 活动 的 程度 密切 相关 。 如 果 日 志 只 是 概念 测试 的 部 
分 记录 ， 灾 难 影响 可 能 无 关 紧 要 ， 因 为 测试 还 可 以 重新 运行 。 然 而 ， 如 果 活 动 日 志 用 来 
生成 规范 企业 运作 的 报表 或 者 用 来 处 理 客户 订单 ， 那 么 ， 灾 难 造成 的 损失 将 十 分 巨大 。 


9.3.2 ”灾难 影响 分 析 


灾难 恢复 计划 应 当 从 影响 分 析 入 手 ， 影 响 分 析 的 第 一 步 是 将 企业 运营 分 成 不 同 的 功 
能 ， 然 后 分 析 每 个 功能 不 可 用 时 的 成 本 。 因 为 在 最 不 可 能 的 时 候 发 生 了 最 糟糕 的 事情 。 
因此 进行 灾难 影响 分 析 时 ， 应 当 把 影响 假设 成 最 糟糕 的 情况 ， 例 如 ， 天 文 观测 站 的 灾难 
影响 分 析 应 当 假 设 天 文 望远镜 在 一 起 重大 天 象 观测 的 夜晚 不 能 正常 工作 ， 以 此 评估 特定 
时 刻 发 生 故 障 的 损失 和 影响 。 

以 天 文 观测 站 为 例 ， 其 灾难 影响 分 析 可 以 分 成 三 大 部 分 : 管理 、 维 护 和 天 象 观测 。 
分 析 发 现 ， 尽 管 管理 日 程 每 天 一 变 ， 但 重大 的 天 象 观测 通常 提前 几 个 月 就 安排 妥当 ， 所 
以 即便 管理 功能 有 几 个 月 不 能 正常 运行 ， 也 不 会 影响 天 文 望远镜 用 户 。 同 样 的 分 析 显 示 ， 
在 重大 观测 项 目 上 ， 天 文 望远镜 即使 只 有 一 个 晚上 不 能 正常 工作 ， 整 个 研究 项 目 就 可 能 
拖延 数 月 。 类 似 地 ， 尽 管 不 希望 它 发 生 , 但 如 果 不 在 观测 期 间 取消 长 达 两 周 的 维护 工作 ， 
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就 会 严重 影响 整个 观测 项 目的 进展 。 

该 影响 分 析 说 明 ， 影 响 天 象 观 测 望 远 镜 的 任何 灾难 都 必须 尽快 恢复 。 而 妨碍 维修 工 
作 的 灾难 ， 应 在 1 或 2 周 内 恢复 。 灾 难 致使 管理 工作 一 个 月 或 更 长 时 间 不 能 正常 进行 也 
可 以 接受 。 虽 然 这 3 个 功能 对 于 观测 站 的 运行 都 是 必需 的 ， 但 每 个 功能 具有 不 同 的 “ 停 
机 时 间 敏 感度 ” (downtime sensitivity )。 


1. 恢复 的 优先 级 


企业 必须 平衡 弹性 成 本 (包括 恢复 环境 、 基 础 设施 和 测试 等 ) 和 必须 恢复 的 功能 成 
本 。 在 有 效 运营 的 企业 中 ， 所 有 功能 都 应 当 处 于 同一 水 平 。 然 而 灾难 发 生 后 ， 只 有 最 关 
键 的 功能 才 必 须 立 即 恢复 ， 而 其 他 功能 则 可 以 暂缓 恢复 。 通 常情 况 下 ， 遭 受灾 难 后 ， 没 
有 某 种 特定 功能 ， 企 业 能 够 活 的 时 间 越 长 ， 该 功能 的 灾后 恢复 就 越 容易 ， 恢 复 成 本 也 越 
低 。 我 们 很 少 愿意 延迟 恢复 某 种 功能 ， 但 由 于 快速 恢复 的 成 本 十 分 昂贵 ， 所 以 可 以 延迟 
恢复 某 些 功能 。 

恢复 的 优先 级 应 根据 功能 的 时 间 敏 感度 ， 而 不 是 根据 功能 的 战略 重要 性 或 大 小 来 划 
分 。 例 如 ， 处 理 资金 收入 的 功能 很 显然 对 许多 企业 的 长 期 生存 非常 关键 ， 但 绝 大 多 数 情 
况 下 ， 企 业 的 这 项 功能 被 中 断 几 天 甚至 几 个 星期 ， 也 不 会 危及 到 该 企业 的 财政 状况 。 因 
为 灾难 发 生 后 ， 该 功能 的 恢复 可 以 延迟 数 天 ， 因 此 ， 在 资源 有 限 的 情况 下 ， 恢 复 团 队 应 
当 注 重 恢复 更 具 时 效 性 的 功能 ， 诸 如 生产 和 产品 交付 等 。 

影响 分 析 通 常 十 分 明显 。 

(1) 灾难 恢复 期 间 ， 企 业内 部 的 时 事 通信 必须 按时 出 版 ， 或 可 以 推迟 一 个 或 两 个 月 
出 版 ? 

(2) 灾难 发 生 的 当天 ， 必 须 寄 出 发 票 ， 或 者 客户 可 以 接受 延迟 付 账 ? 

(3) 灾难 发 生 后 4 小 时 内 ， 企 业内 部 的 电子 邮件 系统 必须 正常 运行 ， 或 者 可 以 延迟 
8 个 小 时 甚至 8 天 恢复 ? 

(4) 灾难 发 生 时 ， 呼 入 电话 必须 立即 回复 ， 或 者 电话 系统 可 以 停机 1 小 时 ? 

影响 分 析 应 当 在 回答 上 述 问题 之 后 再 确定 恢复 的 优先 级 。 如 果 没 有 进行 影响 分 析 ， 
灾难 发 生 后 企业 就 根据 企业 的 政策 和 主观 腾 断 确定 应 当 首 先 恢复 哪些 功能 、 安 排 恢 复 的 
优先 级 ， 就 可 能 浪费 宝贵 的 资源 。 


2. 灾难 影响 的 类 型 


灾难 导致 的 停机 通常 会 对 企业 的 功能 产生 3 种 不 同类 型 的 影响 。 

(1) 财务 影响 。 财 务 上 的 影响 包括 收入 减少 ， 开 支 增加 和 创收 机 会 丢失 。 在 销售 、 
计 费 、 脱 收 、 贷 款 、 募 款 及 相关 操作 时 的 停机 都 可 能 导致 企业 收入 的 减少 ， 某 些 损失 实 
际 上 是 递 延 收入 ， 恢 复 之 后 可 以 重新 获得 ， 而 某 些 损失 则 可 能 是 永久 性 的 。 类 似 地 ， 绝 
大 多 数 停机 会 导致 某 些 费 用 的 增加 。 最 后 ， 由 于 某 些 功能 的 停机 ， 如 货币 交易 、 风 险 投 
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资 营销 、 活 动 策划 等 功能 的 停机 都 会 使 企业 丧失 机 会 ， 机 会 丧失 造成 的 损失 很 难 量化 ， 
却 十 分 惨重 。 

(2) 企业 声誉 影响 。 当 企业 遭受 灾难 导致 的 停机 影响 到 企业 的 客户 ， 或 新 闻 媒 体 就 
灾难 事件 对 企业 进行 不 利 报道 时 ， 灾 难 就 会 影响 企业 声誉 。 灾 难 影响 的 最 终结 果 通 常 是 
财务 影响 : 客户 丢失 、 公 关 费 用 产生 、 灾 难 恢复 计划 也 需要 出 资 等 。 

(3) 法 律 和 规章 影响 。 灾 难 影响 包括 财政 制裁 (罚款 、 预 算 缩减 等 )、 法 律 措施 ( 诉 
讼 等 )、 规 章 补救 行政 赔偿 甚至 勒令 关闭 企业 。 


3. 时 间 范 转 


灾难 影响 也 有 时 间 范 围 。 例 如 某 些 企业 ， 一 天 丧失 电话 服务 功能 只 意味 着 他 们 的 客 
户 会 在 第 二 天 再 打 来 电话 ， 收 入 不 会 损失 ， 只 会 延期 。 电 话 服务 功 能 丧失 一 个 月 ， 则 会 
导致 客户 转向 竞争 对 手 ， 电 话 服务 收入 永久 损失 ， 企 业 声誉 受 损 。 但 有 些 企业 的 业务 时 
效 性 更 强 ,， 电话 服务 即使 中 断 30 分 钟 ， 都 可 能 使 企业 登 上 新 闻 媒 体 的 头 版 头条 ， 将 客户 
拱手 送 给 竞争 对 手 ， 甚 至 导致 执法 部 门 介 入 调查 。 


4. 相互 关系 


企业 某 项 功能 的 重要 性 也 可 能 取决 于 它 与 企业 其 他 功能 的 相互 关系 。 例 如 ， 报 表 生 
成 似乎 不 是 特别 具有 时 效 性 的 功能 ， 但 如 果 企业 的 其 他 功能 ， 如 证 券 、 货 币 交 易 等 功能 
依赖 于 及 时 报表 ， 那 么 报表 生成 功能 在 灾难 恢复 中 的 重要 性 就 大 大 增加 。 

只 有 停机 的 所 有 影响 被 量化 或 被 逐渐 认 知 ， 企 业 才 能 确定 某 项 功能 可 以 中 断 多 长 时 
间 而 不 会 对 企业 造成 重大 影响 。 只 有 每 一 种 功能 的 影响 都 被 确定 后 ， 企 业 才 能 分 析 灾 难 
造成 的 综合 影响 。 


9.3.3 ”灾难 分 类 


灾难 可 以 根据 它 对 企业 的 影响 范围 和 它 对 企业 运营 环境 的 影响 范围 分 成 两 类 。 一 个 
灾难 也 许 会 影响 某 个 企业 的 某 种 功能 ， 或 众多 企业 的 同一 种 功能 ， 或 影响 众多 企业 运营 
的 整个 环境 。 图 9-13 根据 灾难 对 企业 和 对 企业 运营 环境 的 影响 做 了 分 类 。 

举例 来 说 ， 会 计 部 门 的 计算 机 系统 故障 通常 只 会 影响 到 该 系统 控制 的 该 企业 的 会 计 
部 门 , 而 网 络 故 障 或 者 数据 库 病毒 则 会 影响 到 企业 的 各 个 部 门 , 但 不 会 影响 到 其 他 企业 。 
相反 ， 如 果 某 个 地 区 遭受 台风 侵袭 ， 则 该 地 区 的 所 有 企业 都 会 受到 影响 。 全 国 范围 内 的 
对 方 付 费 电 话 系统 发 生 故 障 ， 则 会 影响 使 用 该 项 服务 的 所 有 企业 ， 无 论 这 些 企业 处 于 什 
么 位 置 ， 却 丝毫 不 会 影响 不 使 用 该 项 服务 的 用 户 。 

灾难 对 企业 和 企业 运营 环境 的 影响 如 图 9-13 所 示 。 不 难看 出 ， 对 灾难 准备 不 充分 的 
大 部 分 企业 可 以 承受 左下 角 所 描述 的 那些 灾难 ， 而 对 于 其 他 3 个 部 分 显示 的 灾难 ， 企 业 
要 在 灾难 中 生存 则 需要 重要 的 灾难 恢复 计划 和 充分 的 准备 工作 。 
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例如 : 社会 动荡 

整个 企业 处 理 数据 @ ”大 多 数 企业 对 这 类 灾难 束手无策 
的 功能 被 毁 〈 如 企 @ 很 可 能 严重 损失 对 外 关系 
业 的 唯一 数据 中 心 @ ”只 有 非常 完整 的 恢复 计划 才能 将 企 
着 火 ) 业 从 灾难 中 拯救 出 来 
对 企业 例如 :水灾 或 火灾 
运营 的 影响 @ 大 部 分 企业 可 以 从 这 类 灾难 中 恢复 

@ 可 能 快速 恢复 
企业 的 主要 功能 仍 @ 有 效 利用 资源 可 以 加 快 恢复 并 使 恢 
然 正常 (如 跨国 数 复 完整 
据 中 心 的 某 个 中 心 @ 适当 的 恢复 计划 可 以 降低 恢复 成 本 
不 能 正常 工作 


外 部 大 环境 未 受 影 响 ( 如 仅 ”对 外 部 环境 的 影响 外 部 环境 受到 巨大 影响 
仅 是 铲 车 破坏 了 动力 线 ) (如 台风 、 洪 水 等 ) 


图 9-13 灾难 分 类 


1. 企业 和 环境 灾难 


灾难 恢复 计划 中 的 一 个 重要 考虑 因素 是 灾难 对 企业 运营 环境 的 影响 。 灾 难 造成 的 环 
境 影响 如 下 。 

(1) 较 小 的 : 例如 火灾 、 楼 内 供水 管 破裂 、 计 算 机 欺骗 等 灾难 ， 在 这 些 例 子 中 ， 某 
个 企业 或 者 其 数据 中 心 可 能 无 法 正常 工作 ， 但 整个 运营 环境 和 社会 系统 总 体 上 未 受 任何 
影响 。 

在 这 类 灾难 的 恢复 计划 中 ， 通 常 假设 外 部 机 构 、 合 作 伙伴 和 设施 都 可 以 帮助 企业 进 
行 恢复 。 遗 憾 的 是 ， 对 于 这 种 类 型 的 灾难 ， 企 业 一 般 很 少 期 望 规章 或 法 规 救助 ， 而 客户 
和 业务 合作 伙伴 一 般 也 不 会 容忍 服务 水 平 的 下 降 。 

(2) 较 大 的 : 例如 大 规模 的 洪水 、 飓 风 、 支 持 系 统 瘫痪 (如 公用 网 络 故 障 、 城 市 断 
电 事 故 )、 市 民 上 暴动 和 恐怖 袭击 等 。 这 些 灾难 会 影响 环境 和 社会 支持 系统 ， 有 时 破坏 是 永 
久 性 的 。 灾 难 发 生 区 域 的 所 有 企业 都 会 受到 影响 ， 严 重 时 ， 整 个 城市 居民 都 会 受到 不 利 
影响 。 


2. 企业 和 站 点 灾难 


从 环境 的 较 大 灾难 中 恢复 ， 企 业 需 要 和 其 他 同样 受 影响 的 企业 争夺 资源 ， 而 向 公有 
或 私有 基础 设施 寻求 帮助 也 几乎 不 可 能 。 但 合作 伙伴 、 客 户 、 供 应 商 和 法 规制 定 者 通常 
认为 这 类 灾难 的 发 生 不 是 企业 的 过 错 ， 因 此 通常 能 够 容忍 企业 在 这 种 非常 时 期 的 服务 功 
能 下 降 。 

大 致 来 讲 ， 灾 难 可 能 是 局 域 的 ， 只 影响 企业 的 菜 个 区 域 或 部 分 功能 ， 也 可 能 是 广 域 
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的 ， 影 响 整个 企业 的 运营 。 局 域 和 广 域 这 两 个 术语 在 字面 上 可 以 把 灾难 影响 理解 为 地 域 
影响 或 者 功能 影响 。 例 如 某 个 计算 机 病毒 致使 企业 的 全 球 信息 服务 中 断 。 

(1) 局 域 灾难 。 局 域 灾难 不 会 影响 企业 的 重要 功能 。 局 域 灾难 可 能 影响 某 个 设施 、 
某 个 地 域 〈 如 某 个 流域 或 建筑 等 )、 某 个 行政 区 域 〈 如 某 个 城市 或 某 个 州 )， 或 企业 的 某 
种 功能 〈 如 电子 邮件 或 数据 库 服务 )。 局 域 灾 难 的 关键 定义 是 企业 的 大 部 分 保持 正常 运 
营 。 从 局 域 灾 难 中 恢复 一 般 注重 恢复 灾难 中 丧失 的 企业 功能 。 用 作 灾 难 恢复 的 资源 可 以 
是 专用 的 ， 也 可 以 是 为 帮助 恢复 而 从 其 他 企业 功能 中 转化 而 来 的 。 能 否 从 局 域 灾难 中 成 
功 恢复 很 大 程度 上 取决 于 能 否 有 效 利用 现 有 资源 。 

(2) 广 域 灾难 。 广 域 灾 难 致使 企业 的 大 部 分 功能 丧失 。 位 置 分 散 的 大 型 企业 凭借 其 
位 置 的 多 样 性 对 广 域 灾 难 具 有 天 然 的 防御 能 力 。 相 反 ， 地 理 位 置 相 对 集中 的 小 型 企业 对 
广 域 灾 难 的 防御 能 力 自然 较 弱 。 要 从 广 域 灾难 中 恢复 ， 企 业 必 须 按 轻重 缓急 顺序 逐渐 恢 
复 。 在 大 多 数 商业 企业 中 ，“ 前 台 ” (特别 表层 的 ) 运营 必须 首先 恢复 。 但 有 时 候 由 于 
缺少 前 台 运 营 必需 的 重要 内 部 功能 的 支持 ， 恢 复工 作 会 变 得 十 分 复杂 。 因 此 ， 企 业 在 制 
订 应 对 广 域 灾难 的 信息 服务 恢复 计划 时 ， 一 定 要 考虑 到 支持 前 台 应 用 的 后 台 功 能 在 灾难 
发 生 时 不 可 用 的 可 能 性 。 

很 明显 ， 灾 难 影响 到 的 地 域 、 企 业 数量 和 功能 越 多 ， 进 行 恢复 就 越 复杂 、 越 困难 。 
与 恢复 的 优先 级 相 比 ， 资 源 不 足 和 媒体 关注 都 会 扩大 灾难 的 影响 。 为 了 避免 灾难 影响 范 
围 的 扩大 ， 现 代 企业 有 必要 构建 一 个 真正 有 弹性 的 企业 系统 。 


3. 灾难 影响 的 改变 因素 


有 3 个 因素 可 以 扩大 或 减 小 灾难 的 影响 。 

(1) 提前 告警 。 对 灾难 的 提前 告警 可 以 大 大 减 小 灾难 的 影响 ， 如 对 台风 路 径 和 强度 
的 预报 ， 或 对 限 电 断 电 的 提前 通知 都 可 以 使 实际 的 损失 小 于 预期 损失 ， 原 因 是 大 大 降低 
了 意外 情况 的 发 生 。 特 别 是 企业 和 整个 社会 可 以 对 这 类 灾难 做 好 准备 ， 减 小 影响 。 没有 
告警 的 突 发 灾难 〈 如 炸弹 袭击 、 电 缆 中 断 等 ) 其 初始 影响 较 大 ， 主 要 原因 是 灾难 带 来 紧 
张 和 混 乱 ， 一 直到 采取 有 序 的 管理 措施 。 

(2) 持续 时 间 。 持 续 性 灾难 (如 连续 数 天 的 电源 中 断 或 外 部 供应 停止 等 ) 会 随 着 时 
间 的 推移 而 增 大 负面 影响 。 某 些 情况 下 ， 其 影响 一 直 会 延续 到 替代 设施 正常 工作 为 止 。 
例如 ， 某 个 制造 企业 突然 失去 了 一 个 主要 供 货 商 ， 合 理 的 应 对 方案 应 该 是 对 订单 进行 优 
先 排序 ,将 能 够 生产 的 产品 尽量 发 货 ， 同 时 通知 客户 有 可 能 出 现 延 误 。 随 着 时 间 的 推移 ， 
越 来 越 多 的 订单 被 延误 ， 最 后 该 企业 不 得 不 停止 接受 订单 。 固 定 成 本 的 支出 会 连续 地 给 
企业 财务 施加 压力 ， 这 种 滚雪球 似 的 成 本 负担 一 直 会 延续 到 该 供 货 商 恢复 供 货 或 被 蔡 换 
为 止 。 

(3) 公众 反应 。 不 管 灾 难 影响 到 某 个 地 区 、 某 个 行业 或 某 个 国家 ， 公 众 的 反应 可 能 
弱化 或 恶化 这 种 影响 。 例 如 ，2001 年 9 月 11 日 世贸 中 心 遭 受 空袭 后 的 几 个 星期 内 ， 纽 
约 金融 证 券 公 司 的 客户 对 交易 的 延误 和 出 现 的 问题 都 报 以 宽容 的 态度 。 纽 约 市 民 也 很 少 
抱怨 消防 队 和 警察 局 。 公 众 的 理解 和 支持 减缓 了 灾难 的 影响 ， 从 而 帮助 企业 完全 恢复 。 
相反 ， 当 埃 克 森 石 油 公 司 的 油轮 瓦尔 迪 兹 号 搁浅 ， 并 造成 大 量 原油 外 泄 事故 时 ， 公 众 对 
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环境 被 破坏 和 埃 克 森 公司 的 善后 处 理工 作 强 烈 不 满 ， 使 事态 扩大 并 严重 损坏 了 埃 克 森 公 
司 的 形象 。 


9.3.4 ”准备 工作 和 恢复 计划 


灾难 恢复 计划 和 准备 通常 遵循 以 下 两 种 方法 。 
1. 全 面 灾难 恢复 计划 


有 些 企业 设计 的 全 面 灾 难 预 防 和 恢复 计划 可 以 对 任何 可 预见 的 灾难 事件 进行 全 部 
或 部 分 的 调用 。 这 些 计 划 与 其 说 是 灾难 事件 驱动 ， 倒 不 如 说 是 不 得 已 而 启动 ， 它 们 一 般 
根据 能 够 预见 的 最 坏 灾难 事件 而 设计 。 执 行 全 面 灾难 恢复 计划 时 ， 必 须 采取 的 第 一 步 是 
评估 灾难 影响 ， 从 而 确定 应 当 调 用 哪些 团队 和 哪些 资源 。 正 因为 如 此 ， 灾 难 发 生 和 开始 
恢复 之 间 ， 通 常会 有 一 段 延 时 。 


2. 特定 灾难 恢复 计划 


与 上 述 办 法 相反 ， 有 些 企业 制订 了 几 种 特定 灾难 恢复 计划 。 这 些 计划 考 虑 了 最 可 能 
发 生 的 灾难 和 灾难 的 最 大 潜在 影响 。 这 些 企 业 列 出 了 可 能 发 生 影响 的 不 同 灾难 ， 同 时 考 
虑 了 这 种 灾难 对 整个 行业 、 地 区 、 产 品 、 服 务 和 供应 链 的 影响 。 他 们 会 采用 历史 信息 和 
最 好 的 假设 方法 对 每 一 种 灾难 进行 量化 分 析 ， 并 计算 出 最 坏 的 和 最 有 可 能 的 影响 。 通 过 
最 详细 的 计划 ， 他 们 会 高 度 重视 最 有 可 能 发 生 的 灾难 和 具有 最 大 潜在 影响 的 灾难 。 

例如 ， 在 加 利 福 尼 亚 和 日 本 ， 发 生地 震 的 几率 很 高 ， 所 以 建筑 都 设计 成 抗震 建筑 。 
而 在 新 英格兰 和 伦敦 ， 地 震 发 生 的 几率 很 小 ， 因 此 人 们 在 防震 上 投入 的 精力 就 较 小 但 
不 能 忽略 发 生地 震 的 可 能 )。 另 一 个 例子 就 是 以 上 几 个 地 区 几乎 都 没有 防御 龙卷风 侵 柳 的 
措施 。 因 为 龙卷风 在 上 述 地 区 十 分 罕见 。 有 些 灾难 独立 于 自然 环境 因素 ， 绝 大 多 数 企业 
都 具有 紧急 恢复 计划 ， 以 应 对 电源 中 断 、 火 灾 、 洪 水 、 网 络 故障 和 其 他 不 可 预知 的 灾难 。 

执行 特定 灾难 恢复 计划 ， 应 当 遵循 特定 的 步骤 和 流程 。 只 要 灾难 的 性 质 清楚 ， 就 不 
需要 在 恢复 初期 做 太 多 决策 。 多 数 情 况 下 ， 初 始 恢复 步骤 可 以 自动 完成 。 但 特定 灾难 恢 
复 计划 的 主要 缺点 是 不 能 预料 灾难 ， 比 如 企业 有 可 能 采用 电源 中 断 应 急 方案 来 进行 火山 
爆发 灾难 恢复 。 


3. 混合 恢复 计划 


实际 上 ， 大 多 数 企业 采用 上 述 两 种 偏激 方法 的 组 合 方案 。 即 制订 一 些 针对 常见 灾难 
(如 断 电 、 暴 风 雪 等 ) 的 特定 计划 ， 同 时 制订 全 面 恢复 计划 ， 应 对 其 他 所 有 灾难 。 此 外 ， 
也 有 一 些 企业 拥有 多 个 全 面 恢复 计划 ， 以 应 对 不 同 影响 类 型 的 灾难 。 企 业 通常 倾向 于 采 
用 能 满足 自身 要 求 的 恢复 策略 。 最 佳 的 方案 是 一 定 要 有 一 个 可 以 应 对 各 种 灾难 事件 的 全 
面 恢复 方案 。 随 着 时 间 的 推移 ， 不 断 检验 和 修改 计划 ， 加 快 初始 决策 速度 ， 从 而 克服 全 
面 恢复 方案 的 缺点 。 
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9.4 存储 网 络 与 备份 容 灾 


本 节 介 绍 存储 网 络 与 备份 容 灾 的 基本 概念 ， 存 储 网 络 互联 技术 、 弹 性 存储 网 络 技术 
及 应 用 。 


9.4.1 存储 网 络 一 一 数据 访问 的 基础 设施 


一 套 可 靠 的 基础 设施 能 够 提高 任何 复杂 系统 的 弹性 ， 无 论 系统 是 商务 、 楼 宇 还 是 计 
算 机 应 用 。 企 业 信息 服务 需要 多 层级 基础 设施 ， 包 括 CASE1 工具 、 数 据 库 、 集 群 和 存 
储 网 络 。 

企业 需要 信息 服务 具有 弹性 和 可 用 性 ， 并 且 其 覆盖 范围 能 够 符合 可 扩展 、 高 可 用 、 
经 济 高 效 的 快速 数据 访问 的 要 求 。 随 着 服务 器 端的 应 用 功能 越 来 越 强 大 ， 数 据 访问 技术 
也 在 不 断 地 改进 以 保证 同步 发 展 。 因 此 ， 了 解 弹性 信息 服务 的 不 断 变化 的 存储 网 络 技术 
前 景 ， 对 系统 管理 员 来 说 越 来 越 重 要 。 

智能 楼 宇 建筑 是 多 种 管道 、 线 缆 组 成 的 网 络 ， 可 以 将 服务 传送 到 需要 的 各 个 位 置 。 
除了 偶尔 需要 维护 外 ， 这 些 网 络 理应 是 透明 的 。 为 了 支持 弹性 信息 服务 ， 企 业 存储 网 络 
必须 同样 卓越 一 一 稳定 、 可 靠 、 高 性 能 、 可 扩展 并 易于 管理 。 

企业 信息 网 络 使 用 不 同 的 传输 介质 〈 如 100Base-T 以 太 网 、 千 兆 以 太 网 、AIM 和 
FDDI) 和 不 同 的 协议 〈 如 TCP/TP、NFS、FTP 和 HTTP)， 以 满足 不 同 的 需求 。 同 样 ， 
存储 网 络 也 使 用 不 同 的 介质 (如 光纤 信道 、 千 兆 以 太 网 和 InfiniBand) 和 协议 (如 SCSI、 
FICON、VI、IP 和 iSCSI)， 以 适应 不 同 的 环境 和 应 用 。 


1. 存储 互 连 


存储 互 连 是 指 计 算 机 IO 总 线 和 存储 设备 〈 磁 盘 和 磁带 机 ) 之 间 的 物理 连接 ， 用 来 
实现 计算 机 与 存储 设备 的 数据 交换 。 存 储 互 连 包括 使 用 SCSI 和 光纤 信道 (主要 用 于 UNIX 
和 Windows 系统 )、ESCON 和 FICON (用 于 大 型 计算 机 )。 除 此 之 外 ，TCP/IP 还 可 用 于 
存储 互 连 ， 实 现 文件 共享 。 

SCSI (小 型 计算 机 系统 接口 ) 可 用 于 存储 设备 和 计算 机 之 间 的 直接 连接 〈 不 使 用 中 
间 设 备 )。SCSI 最 早 用 于 小 型 计算 机 的 互 连 ， 在 随后 近 二 十 年 的 使 用 过 程 中 已 经 做 过 多 
次 改进 ， 以 便 支 持 更 高 速度 的 数据 传输 ，SCSI 已 经 发 展 成 为 各 种 规模 系统 的 存储 设备 的 
主要 直接 互 连 ， 然 而 设备 选 址 和 总 线 长 度 的 限制 制约 了 它 在 大 型 系统 中 的 使 用 。 

每 个 SCSI 设备 都 拥有 一 个 ID 号 (总 线 地 址 ) SCSI 启动 器 是 发 出 读 写 命令 的 设备 。 
SCSI 启动 器 通常 由 运行 在 名 为 主机 总 线 适 配器 (HBA) 模块 上 的 ASIC 充当 。SCSI 的 
目标 设备 是 存储 数据 并 响应 读 写 命令 的 磁盘 或 磁带 机 。 

一 个 SCSI 总 线 可 以 互 连 的 设备 不 能 超过 16 个 (启动 器 或 目标 设备 )， 因 此 限制 了 
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带 有 SCSI 的 存储 网 络 的 大 小 。 而 且 ， 随 着 更 多 的 计算 机 添加 到 SCSI 存储 网 络 ， 以 便 访 
问 更 多 的 数据 ， 可 以 连接 的 存储 设备 的 数量 也 会 随 之 减少 。 

这 并 不 意味 着 SCSI 设备 不 能 用 于 大 型 存储 网 络 ， 新 型 基础 设施 设备 一 一 网 关 和 路 
由 器 ， 可 以 将 SCSI 存储 设备 和 服务 器 连接 到 采用 新 技术 的 大 型 存储 网 络 。 光 纤 信 道 到 
SCSI 的 路 由 器 可 以 延长 SCSI 存储 设备 和 带 有 SCSI HBA 的 服务 器 的 使 用 寿命 。 这 种 存 
储 设 备 和 服务 器 的 一 种 常见 使 用 是 部 署 到 灾难 恢复 站 点 。 另 外 ， 网 关 和 路 由 器 还 能 使 基 
于 SCSI 的 服务 器 实现 所 谓 的 “独立 于 LAN (LAN-ke)” 的 备份 ， 从 而 使 这 些 服务 器 能 
够 与 其 他 服务 器 共享 光纤 信道 存储 设备 。 


2. 存储 网 络 互 联 


SCSI 总 线 长 度 和 选 址 的 限制 制约 了 它 在 大 型 存储 网 络 中 的 使 用 。 为 了 让 信息 服务 具 
有 弹性 ， 存 储 网 络 必须 将 企业 信息 网 络 的 灵活 性 与 存储 互 连 的 强 韧性 结合 起 来 。 存 储 网 
络 化 并 不 是 一 种 新 概念 ， 在 过 去 近 二 十 年 ， 存 储 网 络 一 直 可 用 于 主机 和 其 他 供应 商 专属 
计算 机 系统 。 

存储 网 络 所 带 来 的 好 处 如 下 。 

(1) 存储 从 服务 器 分 离 出 来 。 

(2) 提高 了 服务 器 的 弹性 。 

(3) 更 大 型 更 灵活 的 集群 。 

(4) 共享 存储 资源 。 

(5) 存储 (和 服务 器 整合 。 

(6) 更 快速 (独立 于 LAN) 的 备份 与 恢复 。 

(7) 服务 器 和 存储 设备 更 加 独立 。 

(8) 更 高 的 系统 IO 性 能 。 

(9) 简化 管理 。 

(10) 降低 总 投资 成 本 CTCO )。 

存储 网 络 互 联 和 协议 技术 已 经 从 供应 商 专属 模式 ， 发 展 成 为 标准 化 光纤 信道 存储 区 
域 网 CSAN)。 新 兴 技术 可 让 广 域 存储 网 络 实现 分 布 式 数 据 访 问 和 备份 。IMiniBand 是 另 
外 一 种 新 兴 互 连 ， 其 设计 是 为 了 取代 PCI 总线， 支持 高 于 2Gbps 的 数据 传输 速率 ， 并 能 
够 为 集群 、 分 布 式 文件 系统 、 锁 定 管理 提供 低 延 时 计算 机 与 计算 机 的 互 连 。 

存储 网 络 工业 联合 会 (SNIA) 创建 了 共享 存储 模式 ， 它 是 网 络 化 存储 的 一 种 结构 模 
式 。 这 种 模式 强调 持久 存储 和 按 需 传输 数据 独立 于 互 连 。 根 据 SNIA 模式 ， 所 有 技术 都 
能 够 将 持久 保存 的 数据 传输 给 应 用 。 


9.4.2 数据 块 和 文件 访问 


运行 在 服务 器 上 的 应 用 通常 使 用 数据 块 访 问 或 文件 级 访问 协议 来 读 写 数据 。 如 果 组 
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织 数据 以 便 应 用 的 文件 系统 或 数据 库 管理 运行 在 应 用 程序 服务 器 上 ， 文 件 系 统 或 数据 库 
会 使 用 SCSI 或 光纤 信道 协议 (FCP)， 向 存储 设备 发 送 数 据 块 UO 命令 。 如 果 文 件 系统 
运行 在 存储 设备 上 ， 运 行 在 应 用 程序 服务 器 上 的 文件 访问 客户 端 会 使 用 CIFS 协议 向 存 
储 设备 发 送 UO 命令 。 在 这 种 情况 下 ， 存 储 子 系统 被 称 为 文件 服务 器 或 网 络 附 加 存储 
(NAS) 设备 ， 它 使 用 数据 块 IO 命令 来 访问 与 之 相连 的 存储 设备 。 

图 9-14 显示 了 一 个 复杂 的 存储 网 络 ， 文 件 和 数据 块 的 访问 存储 设备 同时 存在 。 
9-14 中 的 应 用 服务 器 被 连接 到 一 个 交换 式 SAN 结构 ，RAID 子 系统 也 被 连接 到 为 所 有 应 
用 服务 器 提供 数据 块 访问 存储 设备 的 结构 。 除 了 数据 块 访问 服务 ， 图 9-14 左边 的 应 用 服 
务 器 经 LAN 连接 到 文件 服务 器 (NAS 设备 )，NAS 设备 可 以 为 运行 在 该 服务 器 上 的 应 
用 提供 文件 访问 服务 。RAID 子 系统 和 NAS 设备 都 连接 到 磁盘 ， 并 组 织 磁盘 上 的 存储 ， 
以 便 应 用 。RAID 子 系统 可 以 虚拟 化 磁盘 的 容量 ， 然 后 提供 更 大 容量 、 更 高 性 能 或 更 可 
靠 的 其 他 磁盘 。NAS 设备 将 磁盘 上 的 数据 组 织 成 文件 ， 然 后 提供 给 它 的 客户 端 (应 用 服 
务 器 )。 


应 用 服务 器 ”se 


9-14 存储 网 络 示例 


1. 光纤 信道 


光纤 信道 是 2GB/ 每 秒 〈 每 秒 200 兆 字 节 ) 的 存储 网 络 互 连 。 光 纤 信 道 ASIC 可 以 自 
动 调整 传输 速度 ， 例 如 ， 将 一 个 低速 的 1GB 设备 连接 到 2GB 设备 。 

光纤 信道 SAN 可 以 配置 成 3 种 网 络 拓扑 结构 。 

(1) 点 对 点 。 

(2) 光纤 信道 仲裁 环 路 〈 称 为 FC-AL)。 

(3) 交换 式 结构 ( 互 连 交 换 机 的 集合 )。 

点 对 点 和 交换 式 结构 光纤 信道 网 络 可 以 配置 为 全 双 工 模式 (双向 同时 传输 )， 数 据 
传输 的 最 高 吞吐 量 每 秒 可 达 400 兆 字 节 。 

光纤 信道 互 连 可 同时 支持 多 种 高 层 协议 ， 其 中 一 个 高 层 协议 为 卫 〈 互 联网 协议 )， 
有 时 用 于 集群 式 或 独立 于 LAN 的 备份 。 大 型 计算 机 可 以 在 光纤 信道 协议 之 上 使 用 
FICON， 以 访问 远 达 100 千 米 以 外 的 磁盘 、 磁 带 和 打印 机 资源 。IP、FICON 和 光纤 信道 
协议 可 以 共享 同一 个 物理 互 连 。 

光纤 信道 可 以 将 存储 总 线 的 可 预见 性 和 可 靠 性 ， 与 网 络 的 拓扑 结构 和 配置 的 灵活 性 
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有 机 结合 起 来 。 光 纤 信 道 的 主要 用 途 是 使 用 SCSI 光纤 信道 协议 SCSI FCP) 和 高 层 协 
议 访问 开放 式 存储 ， 开 放 式 存储 可 以 映射 SCSL3 命令 集 。 


2. 主机 总 线 适配器 和 存储 设备 


虚拟 接口 (Virtual Interface，VI) 体系 结构 是 另外 一 种 光纤 信道 高 层 协议 ，VI 最 适 
合 低 延 迟 信息 处 理 ， 并 且 可 用 于 集群 以 及 分 布 式 数据 库 和 文件 系统 的 日 志 管理 。 

服务 器 和 存储 设备 都 需要 好 的 解决 方案 来 解决 存储 网 络 连接 、 网 络 内 部 IO 命令 转 
换 、 数 据 传 输 协 议 。 将 服务 器 连接 到 光纤 信道 SAN 的 设备 叫 HBA， 将 服务 器 连接 到 基 
于 IP 的 存储 网 络 的 设备 叫 SNIC。HBA 和 SNIC 将 服务 器 的 内 部 LO 总 线 ( 如 PCI 或 Sbus) 
连接 到 网 络 。 操 作 系 统 使 用 名 为 设备 驱动 器 的 软件 组 件 来 控制 HBA， 通 常 由 HBA 开 
发 商 提 供 。 大 多 数 光 纤 信 道 HBA 卡 支 持 多 种 高 层 协议 ， 包 括 SCSL、FICON、TCP/IP 
和 VI。 

HBA 的 购买 和 配置 通常 独立 于 服务 器 ， 不 同 的 HBA 具有 不 同 的 功能 ，HBA 模式 的 
主要 区 别 包括 如 下 。 

(1) 上 层 协议 支持 -SAN 拓扑 支持 。 

(2) 操作 系统 支持 。 

(3) 每 个 适配器 的 端口 数量 。 

(4) 物理 介质 和 端口 速度 。 

将 元 余 HBA 连接 到 交换 式 结构 中 的 单独 交换 机 ， 可 以 确保 存储 网 络 不 会 因为 
HBA、 线 缆 和 交换 机 故障 而 停止 运行 。 大 多 数 现 代 HBA 可 以 在 多 种 网 络 结构 模式 下 运 
行 ， 但 许多 旧 的 HBA 则 仅 限 于 环 路 拓扑 模式 下 运行 。 

端口 适配器 是 存储 设备 的 常见 组 成 部 件 。 光 纤 信 道 存储 设备 包括 磁盘 和 磁带 机 ， 以 
及 RAID 子 系统 输出 的 逻辑 存储 单元 (LUN)。 光 纤 信 道 结构 可 让 存储 设备 (不 是 数据 ) 
在 主机 (FICON) 和 开放 系统 (SCSIFCP) 之 间 实 现 共享 ， 数 据 共享 则 需要 其 他 技术 来 
处 理 数据 格式 化 、 选 址 和 锁定 。 


3. 线 缆 和 连接 器 


光纤 信道 标准 规定 传输 介质 必须 是 铜 线 和 光纤 〈 多 数 采 用 光纤 )。 铜 线 介 质 的 传输 
距离 可 达 30 米 。 规 定 使 用 625 和 50 微米 的 多 模 光纤 (MMEF ) 和 9 微米 的 单 模 光纤 (SMF )。 
多 模 光 纤 的 通信 距离 最 远 可 达 1 千 米 ， 价 格 更 昂贵 的 单 模 光 纤 则 可 以 实现 最 远 100 千 米 
的 通信 。 

光纤 信道 标准 还 指定 了 几 种 不 同 的 连接 器 。 所 谓 的 Sc 和 ST 连接 器 可 用 于 1GB 设备 
的 连接 。 小 型 可 插 拔 连接 器 〈SFP) 可 增加 端口 密度 ， 用 于 2GB 设备 的 连接 。 


4. 基础 设施 


存储 网 络 的 基础 设施 是 指 连 接 服务 器 和 存储 设备 的 互 连 组 集 。 同 局 域 网 一 样 ， 早 期 
的 存储 网 络 基础 设施 基于 低 成 本 的 被 动 集 线 器 。 光 纤 信 道 集线器 采用 光纤 信道 仲裁 环 路 
(FC-AL) 拓扑 结构 ， 最 多 可 以 连接 126 个 设备 。 目 前 ， 集 线 器 主要 用 来 连接 磁盘 驱动 器 
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和 MID 控制 器 ， 还 可 以 连接 不 支持 仲裁 环 路 拓扑 结构 的 旧 设 备 。 

交换 机 是 一 种 主动 网 络 组 件 ， 可 让 多 个 互 连 设备 共享 高 通信 带宽 。 在 基于 集线器 连 
接 的 基础 设施 中 ， 任 何 时 刻 都 只 有 一 个 设备 在 传输 数据 ， 而 在 交换 机 的 基础 设施 中 ， 许 
多 设备 可 以 同时 接收 和 发 送 数据 。 在 某 些 情况 下 ， 使 用 插入 端口 适配器 ， 光 纤 通 道 指引 
器 还 能 够 进行 光纤 信道 和 其 他 协议 之 间 的 转换 。 

光纤 信道 结构 是 互 连 信道 交换 机 的 集合 ， 因 此 在 这 种 结构 中 ， 任 何 交换 机 上 的 任何 
端口 都 可 以 与 其 他 端口 通信 。 大 多 数 新 型 HBA 和 存储 设备 都 可 以 直接 连接 到 光纤 信道 
结构 。 而 某 些 旧 的 设备 只 可 能 连接 到 环 路 ， 想 让 这 些 设 备 也 可 用 于 光纤 信道 结构 ， 必 须 
使 用 桥接 设备 〈 如 集线器 )。 

交换 机 和 指引 器 SAN 结构 的 基本 构件 ,为 了 让 存储 网 络 具有 弹性 ，ISL 应 当 配 置 成 
对 ， 一 个 弹性 ISL 至 少 占用 所 连接 的 每 一 台 交换 机 的 两 个 端口 。 

多 交换 机 结构 可 增加 互 连 端口 的 数量 ， 比 任何 一 台 交 换 机 所 能 提供 的 端口 数量 都 
多 。 多 交换 机 结构 的 配置 可 以 将 特定 流量 与 特殊 SAN 分 段 隔离 ， 与 LAN 交换 机 隔离 信 
息 流量 的 方式 类 似 。 

并 行 SCSI 设备 可 以 借助 各 种 桥接 器 、 网 关 ， 或 路 由 设备 连接 到 光纤 通道 SAN， 如 
图 9-15 所 示 。 桥 接 器 的 一 端 与 使 用 其 协议 的 光纤 信道 SAN 连接 ， 另 一 端 则 使 用 并 行 
SCSI， 逻 辑 上 ， 桥 接 器 在 两 种 协议 之 间 起 到 转换 作用 。 新 型 桥接 设备 能 够 实现 光纤 信道 
和 其 他 互 连 之 间 的 类 似 互 连 。 


服务 器 -A 
Sa 


图 9-15 存储 网 络 中 的 路 由 器 


9.4.3 ”弹性 存储 网 络 


存储 网 络 在 满足 应 用 需求 的 前 提 下 应 当 尽 可 能 简单 ， 既 要 降低 基础 设施 发 生 故 障 的 
几率 又 要 提高 容错 性 能 。 早 期 的 SAN 设计 通常 很 复杂 ， 这 源 于 交换 机 端口 的 数量 限制 。 
带 有 更 多 端口 的 交换 机 目前 可 以 建立 拓扑 结构 更 简单 的 更 大 型 存储 网 络 。 目 前 ， 通 过 互 
连 交 换 机 或 指引 器 建立 的 多 结构 存储 网 络 可 以 支持 数 千 个 端口 。 第 一 代 “SAN 孤岛 ” 现 
在 也 可 以 并 入 大 型 网 络 ， 从 而 简化 备份 和 资源 共享 。 

或 许 对 存储 网 络 设计 影响 最 强 的 因素 是 互 连 要 求 ， 互 连 要 求 表现 在 以 下 几 个 方面 。 

(1) 所 有 服务 器 都 可 以 访问 所 有 设备 (任意 对 任意 )。 
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(2) 某 些 服务 器 可 以 访问 所 有 设备 《多数 对 任意 )。 
(3) 某 些 服务 必须 访问 某 些 设备 〈 多 数 对 多 数 )。 


1. 存储 网 络 拓扑 结构 
存储 网 络 的 规模 和 结构 各 不 相同 。 光 纤 通 道 标准 指定 了 点 对 点 的 拓扑 结构 ,如 图 9-16 
所 示 ， 这 种 拓扑 结构 中 的 单 台 服务 器 与 单个 存储 设备 相连 。 存 储 网 络 一 般 不 采用 这 种 拓 


扑 结构 ， 可 以 实现 多 台 服 务 器 访问 共同 存储 设备 的 最 简单 的 存储 网 络 拓扑 结构 是 环 路 结 
构 ， 也 如 图 9-16 所 示 。 


点 对 点 拓扑 


9-16 简单 存储 网 络 拓扑 


在 环 路 拓扑 结构 中 ， 任 何 时 刻 一 台 存储 设备 只 能 与 一 台 接收 设备 通信 ， 要 实现 多 台 
设备 同时 传输 ， 则 需要 基于 交换 机 的 结构 。 最 简单 的 交换 式 拓扑 结构 只 有 一 台 交换 机 ， 
如 图 9-16 所 示 。 

通过 交换 机 组 合 来 构建 各 种 存储 网 络 拓扑 ， 能 够 扩大 SAN 的 规模 和 覆盖 范围 。 最 简 
单 的 组 合 是 由 两 台 或 多 台 交换 机 以 直 连 方式 连接 组 成 的 级 联网 络 ， 在 层 登 配置 中 ， 非 元 
余 ISL 是 单 点 故障 ， 可 能 导致 设备 隔离 。 

改进 后 的 级 联 拓扑 结构 ， 三 台 或 多 台 交换 机 连接 成 一 个 封闭 环 路 。 这 种 拓扑 结构 中 的 
单个 ISL 发 生 故 障 会 使 网 络 变 成 级 联结 构 ， 但 所 有 端口 仍 保持 互 连 状态 ， 因 此 数据 会 继 
续 流动 ， 不 会 中 断 。 

环 路 和 级 联结 构 的 规模 都 受 限 于 设备 间 访 问 所 需 的 交换 机 到 交换 机 的 “跳跃 ”次 
数 。 随 着 级 联 或 环 路 结构 的 增长 ， 设 备 必须 精心 放置 ， 以 优化 网 络 性 能 ， 最 小 化 延 时 。 

新 的 拓扑 结构 可 让 结构 式 网 络 的 规模 更 大 ， 弹 性 更 好 ， 并 提供 更 高 的 性 能 。 为 提高 
网 络 性 能 和 弹性 ， 如 图 9-17 左边 部 分 所 示 ， 部 分 网 状 拓扑 为 每 台 交 换 机 提供 两 条 路 径 与 
其 他 交换 机 互 连 。 虽 然 部 分 网 状 拓扑 没有 实现 所 有 交换 机 之 间 的 直 连 连接 ， 但 是 它 比 级 
联 和 环 路 拓扑 网 络 的 弹性 更 高 。 

全 网 状 存储 网 络 ， 如 图 9-18 右边 部 分 所 示 ， 其 结构 更 加 复杂 ， 但 比 部 分 网 状 存储 网 
络 的 性 能 和 弹性 更 高 。 全 网 状 存储 网 络 的 管理 十 分 复杂 ， 特 别 是 添加 了 新 的 交换 机 。 
新 配置 后 全 网 状 结构 中 的 问题 隔离 和 错误 检测 会 非常 耗 时 。 


由 
吓 | 
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交换 机 交换 机 
JSL ISL 
交换 机 
图 9-17 环 路 拓扑 
交换 机 
交换 机 交换 机 


部 分 


9-18 ”部 分 网 状 和 全 网 状 拓扑 


核心 边缘 拓扑 结构 ， 将 某 些 交 换 机 核心 ) 用 于 交换 机 的 互 连 ， 将 其 他 交换 机 ( 边 
缘 ) 用 于 将 设备 连接 到 SAN。 核 心 边缘 拓扑 结构 比 前 面 所 述 的 拓扑 结构 的 级 别 更 高 。 将 
小 型 交换 机 用 作 核 心 和 边缘 设备 能 够 建立 高 达 约 100 个 端口 的 网 络 。 在 边缘 使 用 小 型 交 
换 机 ， 或 者 将 指引 器 或 集成 结构 用 作 核 心 设备 ， 则 可 以 构建 互 连 数 千 台 设备 的 网 络 。 核 
心 边缘 SAN 设计 与 现代 LAN 设计 相似 ， 均 把 大 型 交换 机 用 在 星 形 配置 的 核心 ， 把 小 型 
交换 机 用 在 边缘 。 

在 任何 一 种 拓扑 结构 中 ， 交 换 机 之 间 的 多 条 ISL 可 提高 网 络 性 能 ， 并 减少 拥塞 。 最 
小 化 网 络 复杂 性 的 一 个 最 好 办 法 就 是 在 网 络 核心 配置 一 对 带 有 许多 端口 的 交换 机 。 这 样 
可 以 减少 ISL 的 数量 ， 提 高 本 地 性 和 安全 性 ， 并 简化 管理 和 故障 检修 。 

对 于 真正 有 弹性 的 SAN， 应 该 在 前 面 所 述 的 任何 一 种 拓扑 中 配置 两 个 独立 的 结构 ， 
每 台 服 务 器 应 当 安 装 两 张 HBA，HBA 卡 分 别 与 不 同 结构 中 的 对 应 交换 机 连接 。 这 种 配 
置 ， 如 图 9-19 所 示 案 例 ， 可 以 防止 HBA、 线 缆 和 交换 机 发 生 故障 ， 并 且 还 能 够 实现 容 
错 。 尽 管 图 9-19 中 的 存储 设备 与 两 个 交换 机 相连 ， 但 交换 机 之 间 没 有 互 连 ， 所 以 是 两 个 
独立 的 结构 。 


2. 正 扇形 结构 和 倒 扇形 结构 


SAN 的 出 现 使 人 们 不 再 需要 对 服务 器 和 存储 设备 做 物理 绑 定 。 因 此 ， 存 储 可 以 被 更 
多 设备 访问 ， 不 再 受 限 于 设备 自身 的 端口 数量 。 例 如 ， 正 扇形 结构 存储 为 6 个 服务 器 上 
的 8 个 端口 对 应 1 个 存储 设备 ， 存 储 设备 本 身 只 带 有 4 个 端口 。 倒 扇形 结构 存储 为 5 个 
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存储 设备 端口 (1 个 磁带 机 带 1 个 端口 ，1 个 磁盘 子 系统 带 4 个 端口 ) 对 应 1 个 服务 器 上 
的 1 个 端口 。 说 明 存储 网 络 带 来 了 系统 配置 的 灵活 性 ， 但 不 能 提高 性 能 。 当 存储 网 络 配 
置 采用 正 扇形 结构 或 倒 扇形 结构 时 ， 设 计 者 应 当 考 虑 端口 数量 较 少 的 设备 的 稳定 状态 和 
峰值 要 求 ， 并 做 相应 的 配置 限制 。 


光纤 信道 


图 9-19 高 可 用 性 存储 网 络 

3. 存储 网 络 设计 标准 

在 平面 SAN 中 ， 所 有 服务 器 都 可 以 访问 所 有 存储 设备 。 在 分 段 SAN 中 ， 有 2 个 或 
多 个 子 网 可 以 在 物理 上 或 逻辑 上 相互 隔离 。 

虽然 存储 网 络 可 让 任何 服务 器 访问 任何 存储 设备 ， 但 我 们 通常 会 将 特定 的 服务 器 和 
存储 设备 与 其 他 设备 隔离 。 存 储 网 络 可 能 出 于 安全 考虑 进行 分 段 ， 也 可 能 为 了 分 离 备 份 
和 恢复 的 数据 流量 与 应 用 流量 进行 分 段 。 

设计 弹性 存储 网 络 需要 考虑 的 主要 因素 如 下 。 

(1) 需要 的 访问 类 型 〈 任 意 对 任意 、 任 意 对 多 数 、 多 数 对 多 数 )。 

(2) 服务 器 的 数量 和 类 型 。 

(3) 服务 器 和 存储 设备 的 物理 位 置 。 

(4) 服务 器 操作 系统 及 版 本 。 

(5) 每 台 服 务 器 上 的 HBA 的 数量 和 类 型 。 

(6) 每 台 服 务 器 上 的 磁带 或 存储 路 径 。 

(7) 卷 管理 工具 。 

(8) 路 径 管理 工具 。 

(9) 应 用 类 型 。 

(10) 应 用 隔离 要 求 。 
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(11) 应 用 服务 器 的 位 置 。 
(12) 服务 器 集群 。 

(13) 性 能 要 求 。 

(14) 服务 水 平 协议 。 

(15) 网 络 增长 计划 。 

(16) 存储 和 磁带 设备 选择 。 
(17) 数据 访问 模式 。 

(18) 备份 和 数据 保留 策略 。 
(19) 安全 性 要 求 。 

(20) 距离 要 求 。 

(21) 协议 要 求 。 

(22) 非 结构 化 设备 的 沿用 。 
(23) 设备 共享 要 求 。 


4. SAN 性 能 


分 析 网 络 性 能 似乎 很 简单 ， 而 实际 上 非常 复杂 。 除 了 诸如 每 条 链 路 每 秒 接收 或 发 送 
的 帧 数量 和 检测 到 的 错误 数量 等 基本 度量 指标 以 外 ， 还 有 一 些 非常 复杂 的 重要 存储 网 络 
度量 指标 。 过 去 几 年 里 开发 出 来 的 一 些 工 具 和 方法 提供 了 便利 的 统计 方法 ， 如 统计 每 个 
端口 上 每 秒 接收 和 发 送 的 兆 字 节 数 。 这 些 统计 方法 可 以 用 来 分 析 网 络 性 能 优化 和 问题 
隔离 。 

位 置 和 本 地 性 对 弹性 的 影响 。 

在 一 个 复杂 的 网 络 拓扑 结构 中 ， 影 响 存储 网 络 性 能 的 一 个 重要 因素 是 相互 连接 设备 
的 位 置 。 存 储 网 络 的 弹性 是 指 结构 中 的 互 连 存储 设备 和 连接 到 同一 台 交 换 机 的 服务 器 所 
占 的 百分率 。 单 台 交换 机 的 结构 具有 100% 本 地 性 ， 而 多 台 交 换 机 组 成 的 结构 其 本 地 性 相 
对 很 低 。 

本 地 性 高 的 存储 网 络 ， 其 性 能 最 好 。 同 一 台 交 换 机 上 的 设备 相互 连接 时 ， 数 据 包 不 
需要 “ 跳 越 ”ISL 上 的 交换 机 级 联 ， 因 而 消除 了 “ 跳 次 ” 带 来 的 延 时 。 在 一 个 业务 繁忙 
的 结构 中 ， 本 地 性 太 低 会 导致 ISL 拥塞 ， 数 据 包 因 排队 等 待 可 用 ISL 而 出 现 延 时 。 排 队 
产生 的 延 时 会 降低 整个 系统 的 IO 性 能 。 

存储 网 络 中 交换 机 的 端口 数量 无 疑 是 限制 本 地 性 的 可 能 因素 。 例 如 ， 要 互 连 90 台 
设备 ， 网 络 结构 至 少 需要 3 台 32 端口 的 交换 机 每 台 交 换 机 的 两 个 端口 用 作 ISL)、6 
台 16 端口 的 交换 机 或 11 台 8 端口 的 交换 机 。 使 用 的 交换 机 数量 越 多 , 本 地 性 也 就 越 低 。 


5. 分 区 和 SAN 安全 


存储 网 络 互 连 大 量 ( 可 能 不 相关 的 ) 服务器 、 存 储 设备 的 功能 引发 了 对 IO 路 径 的 
安全 需求 。 存 储 网 络 将 设备 组 织 到 不 同 的 分 区 ， 使 服务 器 HBA 和 存储 设备 相互 隔离 ， 
从 而 实现 存储 网 络 的 安全 性 。 

存储 网 络 的 分 区 可 以 根据 主机 、 结 构 、 设 备 的 全 球 通用 名 称 〈WWN)、 全 球 通用 节 
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点 名 称 (WWNN) 或 全 球 通用 端口 名 称 (WWPN)、 硬 件 或 软件 端口 、 存 储 设备 来 实现 。 
使 用 基于 主机 的 分 区 ， 若 可 以 限制 应 用 访问 特定 的 存储 设备 。 基 于 结构 的 分 区 在 协同 操 
作 的 交换 机 上 执行 ， 只 有 在 相同 区 域内 的 设备 可 以 相互 通信 。 基 于 端口 的 分 区 可 以 将 特 
定 交 换 机 端口 与 其 他 端口 绑 定 在 一 起 ， 无 论 与 这 些 端口 相连 的 设备 是 什么 设备 。 存 储 分 
区 ， 更 多 时 候 被 称 为 LUN 屏蔽 或 卷 屏 蔽 ， 则 在 存储 设备 上 执行 ， 它 可 以 限制 特定 服务 
器 对 逻辑 单元 的 访问 。 

图 9-20 显示 了 通过 协同 操作 的 交换 机 来 执行 的 3 个 分 区 。 这些 交换 机 上 的 端口 可 能 
是 基于 应 用 、 功 能 、 用 户 群 ， 相 似 属 性 划分 的 较 大 WWN 分 区 的 组 成 部 分 。 


| 服务 用 | 
[服务 器 
HBAIHBA| 


图 9-20 分 区 示例 


分 区 可 以 在 服务 器 、 交 换 机 或 存储 设备 ， 或 这 3 种 设备 上 同时 执行 。 存 储 网 络 的 安 
全 需求 增加 了 IO 子 系统 的 复杂 性 ， 需 要 直接 附加 存储 不 需要 的 管理 技术 支持 。 

早期 的 存储 网 络 使 用 分 区 来 隔离 互 不 兼容 的 网 络 设备 ， 并 隔离 运行 无 法 并 存 的 操作 
系统 的 主机 。 新 的 存储 网 络 一 般 能 够 支持 同一 分 区 的 不 同类 型 的 存储 设备 和 HBA。 
SNIA 解决 方案 论坛 (SSF ) 测试 通过 并 列举 了 多 个 供应 商 的 弹性 存储 网 络 配置 ， 可 以 运 
行 其 供应 商 支持 的 多 种 应 用 。 


6. 异 构 存储 网 络 


为 了 实现 更 高 的 弹性 和 带宽 ， 高 可 用 集群 通常 配置 多 个 结构 。 由 于 集群 服务 器 运行 
的 操作 系统 相同 ， 所 以 不 存在 无 法 并 存 的 问题 。 高 可 用 集群 通常 包括 共享 光纤 信道 磁带 
机 ， 以 便 进 行 独立 于 LAN 的 备份 。 

(1) SAN 互 操作 性 的 发 展 

大 多 数 早 期 的 存储 网 络 使 用 单一 供应 商 提供 的 集线器 和 交换 机 ， 这 就 导致 了 SAN 
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障碍 。 当 SAN 互 操作 性 还 不 是 普遍 问题 时 ， 不 同 供应 商 的 存储 设备 无 法 并 存在 同一 分 区 
已 经 成 为 新 的 困扰 。 目 前 光纤 信道 工业 联合 会 (FCIA) 的 SANmark 项 目 组 负责 测试 结 
构 式 组 件 的 互 操作 性 。SNIA 解决 方案 论坛 促进 了 多 个 供应 商 组 件 的 互 操作 配置 。 

(2) SAN 管理 

SAN 管理 的 普遍 方式 是 通过 一 个 控制 台 来 管理 多 个 SAN。 图 9-21 显示 了 3 个 SAN 
通过 一 个 控制 台 来 管理 ， 在 这 个 示例 中 ，SAN 之 间 没 有 互 连 。 另 外 一 种 方法 是 通过 分 区 
创建 3 个 SAN 相互 连接 的 矩阵 ， 然 后 从 一 个 控制 台 对 3 个 SAN 进行 管理 。 
_ 以 克 网 = 以 太 网 


1 El | I 
服务 器 服务 罚 孤 务 吕 [服务 器 荫 务 吉 菇 多 避 [服务 器 | 服务 器 


1 
服务 铀 [服务 器 | 孤 务 婴 
Ce < 


图 9-21 一 个 控制 台 管理 多 个 SAN 


在 图 9-21 中 ，SAN-A 是 由 两 个 不 相连 的 16 端口 交换 机 组 成 ， 具 有 元 余 性 ， SAN-B 
由 两 个 不 相连 的 128 端口 指引 器 组 成 ，128 可 用 端口 具有 完全 宛 余 性 ，SAN-C 由 两 个 不 
相连 的 部 分 网 状 结构 组 成 ， 每 一 个 结构 带 有 多 条 内 部 ISL。 

异 构 存储 网 络 可 能 包含 运行 不 同 操作 系统 的 多 个 服务 器 、HBA、 交 换 机 、 存 储 设备 
和 管理 工具 。 这 种 网 络 大 概 可 以 满足 企业 的 需求 ， 而 不 像 单 一 供应 商 网 络 ， 其 功能 会 受 
限于 单一 供应 商 提供 的 有 限 功 能 。 异 构 网 络 需 要 标准 化 、 互 操作 性 测试 ， 以 及 供应 商 的 
相互 合作 。 

(3) 巩固 存储 网 络 ， 加 快 恢 复 

SAN 的 实施 可 以 是 单 块 集 成 电路 ， 也 可 以 是 一 些 互 不 连接 的 SAN 孤岛 。 一 般 情 况 
下 ， 企 业 的 最 佳 选 择 介 于 这 两 种 极端 之 间 。 完 全 互 连 的 大 型 SAN 很 容易 出 现 故 障 ， 而 且 
容错 能 力 差 。 许 多 互 不 相连 的 SAN 的 管理 非常 复杂 ， 尤 其 是 管理 宕 机 恢复 。 

一 种 流行 的 折 中 办 法 是 设计 两 个 结构 ， 所 有 设备 都 与 这 两 个 结构 连接 ， 即 使 其 中 的 
一 个 结构 完全 肉 病 ， 还 可 以 通过 另 一 个 结构 保持 连通 性 。 影 响 存 储 网 络 弹 性 的 一 个 重要 
因素 是 结构 的 元 余 性 ， 这 指 结构 可 以 在 服务 器 和 存储 设备 之 间 提 供 两 条 完全 独立 的 路 
径 。 为 保证 网 络 弹性 ， 并 最 小 化 网 络 拥塞 ， 应 尽量 避免 将 所 有 设备 全 部 互 连 。 

当然 ， 将 设备 连接 到 两 个 不 同 的 结构 需要 两 个 连接 端口 。 早 期 的 光纤 信道 HBA， 每 
个 模块 上 只 有 一 个 端口 ， 因 此 连接 两 个 结构 需要 占用 两 个 内 部 总 线 插 模 ， 这 很 快 变 成 一 
种 局 限 性 ， 特 别 是 对 于 带 有 较 少 内 部 总 线 插 模 的 小 型 服务 器 。 新 的 HBA 一 个 模块 上 带 
有 两 个 或 更 多 端口 ， 因 此 这 种 HBA 卡 就 可 以 在 端口 或 路 径 故 障 中 存活 ， 并 且 还 可 以 提 
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高 性 能 。 但 配置 多 端口 HBA 卡 时 需要 特别 小 心 ， 因 为 内 部 总 线 接口 是 单 点 故障 。 内 部 
总 线 插 槽 充裕 的 大 型 服务 器 上 ， 最 好 选用 单口 HBA 卡 ， 如 果 一 台 服 务 器 带 有 多 个 内 部 
总 线 ， 每 张 HBA 卡 则 应 当 安 装 在 单独 总 线 上 。 


9.4.4 ”存储 网 络 应 用 


1. 备份 


存储 网 络 可 以 通过 很 多 方式 提高 备份 性 能 。 最 常见 的 方式 就 是 将 备份 IO 流量 从 在 
企业 局 域 网 转移 到 光纤 信道 存储 网 络 。 从 而 释放 局 域 网 的 容量 。 该 存储 网 络 将 服务 器 与 
磁带 机 直接 连接 ， 增 强 了 IO 性 能 ， 从 而 减少 了 备份 时 间 (或 者 ， 像 有 些 企业 一 样 ， 为 
备份 配置 单独 的 基于 以 太 网 的 存储 网 络 )。 


2. 高 可 用 性 集群 和 弹性 系统 


由 于 不 同 的 服务 有 不 同 的 可 用 性 要 求 ， 因 此 获得 高 可 用 性 的 策略 有 很 多 ， 从 定期 备 
份 到 采用 集群 服务 器 来 杜绝 单 点 故障 都 可 以 实现 这 个 目的 。 对 于 要 求 建立 集群 的 应 用 来 
说 ， 存 储 网 络 互 连 服 务 器 和 存储 设备 的 距离 可 以 超过 数 百 千 米 ， 这 种 存储 网 络 应 该 配置 
宛 余 路 径 、 交 换 机 和 HBA 卡 来 防止 HBA 卡 、 线 缆 、 交 换 机 和 LO 控制 器 发 生 故 障 。 


3. 广 域 存储 网 络 


广 域 存 储 网 络 具有 以 下 几 个 重要 功能 。 

(1) 广 域 集群 可 以 保证 不 间断 应 用 ， 甚 至 在 灾难 发 生 时 。 

(2) 远 距离 镜像 和 复制 可 以 进行 灾后 在 线 数据 恢复 。 

(3) 访问 远程 或 分 布 式 数据 。 

(4) 远程 备份 、 介 质 管理 和 存档 。 

镜像 和 复制 技术 可 提供 数据 的 实时 访问 ， 以 便 快 速 恢复 数据 ， 同 时 数据 的 异地 备份 
也 可 以 用 来 恢复 意外 删除 或 破坏 的 数据 。 

(1) 光纤 信道 连接 距离 超过 10 千 米 

光纤 信道 标准 定义 了 最 远 的 连接 距离 为 10 千 米 ， 这 种 连接 距离 可 以 通过 光纤 连接 
来 构建 园区 网 和 扩展 本 地 存储 网 络 。 尽 管 这 代表 了 直接 附加 存储 设备 之 间 的 连接 距离 有 
了 重大 的 进步 ， 但 是 我 们 仍然 需要 更 远 的 连接 距离 来 支持 城 域 和 广 域 的 互 连 。 

目前 ， 使 用 长 波 GBIC， 光 纤 信 道 的 连接 距离 最 远 可 达 80 千 米 。 使 用 密集 波 分 复 用 
技术 ， 光 纤 信 道 链 路 可 以 扩展 到 100 千 米 以 外 。 光 纤 信 道 链 路 还 可 以 使 用 AIM (OC3 
和 OC12)、IP 网 桥 或 扩展 器 进行 扩展 。 增加 的 协议 , 包括 光纤 信道 骨干 网 协议 (FC-BB)、 
FCIP (IP 的 光纤 信道 ) 和 其 他 一 些 协议 ， 也 能 够 实现 广 域 SAN 的 构建 。 

足够 的 缓存 块 加 上 长 波 GBIC， 可 允许 光纤 信道 链 路 扩展 到 80 千 米 以 外 ， 而 不 会 引 
起 性 能 的 重大 损失 。 如 果 设 备 内 的 缓存 没有 扩充 , 数据 传输 距离 达到 80 千 米 也 是 有 可 能 
的 ， 但 是 性 能 却 会 受到 影响 ， 因 为 除非 先前 发 送 的 数据 帧 已 经 确认 到 达 ， 释 放 了 所 占用 
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的 缓存 ， 否 则 以 后 的 数据 帧 便 无 法 发 送 。 

(2) DWDM 城 域 光纤 网 络 

把 光纤 信道 存储 网 络 的 连接 距离 扩展 到 10 千 米 以 外 的 另 一 种 技术 是 密集 波 分 多 路 
复 用 (DWDM)。DWDM 可 将 光纤 信道 和 FICON 链 路 扩展 到 100 千 米 或 更 远 。DWDM 
也 能 够 自己 设置 附加 带宽 ， 进 行 长 距离 备份 、 镜 像 和 数据 复制 。 

图 9-22 显示 了 两 个 完全 分 离 的 数据 中 心 ， 都 配 有 元 余 光 纤 信道 SAN 和 千 兆 以太 网 
信息 处 理 功能 。 在 两 个 互 连 的 站 点 之 间 ， 宛 余 DWDM 设备 在 同一 条 光纤 电缆 上 波 分 复 
用 光纤 信道 和 千 兆 以 太 网 的 数据 ， 可 以 扩展 这 两 个 站 点 之 间 的 最 远 连接 距离 ， 但 却 只 需 
要 耗费 一 条 物理 连接 的 成 本 。 


LAN 8 主要 站 点 | , 备份 站 点 。 J4NB 


务 器 ]| | 千 兆 以 
人 


图 9-22 广 域 存储 网 络 


9.4.5 ”存储 网 络 管理 


合理 的 管理 可 以 简化 灾难 恢复 ， 同 时 可 让 日 常 的 信息 服务 操作 稳定 下 来 。 合 理 的 管 
理 包括 明确 的 策略 和 经 过 测试 的 程序 ， 这 需要 适当 的 管理 工具 和 文档 支持 。SAN 管理 工 
有 具 可 以 分 为 以 下 几 类 。 

(1) 组 件 管理 器 。 组 件 管理 器 用 以 配置 、 监 控 、 诊 断 和 操作 单个 存储 网 络 组 件 。 组 
件 管理 器 通常 由 该 组 件 的 供应 商 提 供 。 

(2) 存储 网 络 构架 。 这 些 工具 可 以 执行 分 区 、 报 告 、 监 挖 和 其 他 一 些 网 络 任务 。 这 
些 工具 通常 利用 组 件 管理 器 提供 的 服务 在 组 件 上 操作 。 

(3) 数据 管理 工具 。 数 据 管 理工 具 包 括 卷 管 理 器 和 其 他 虚拟 化 备份 、 恢 复 、 分 级 存 
储 管理 器 。 


1. 存储 网 络 技术 的 最 新 发 展 成 果 
几 种 新 兴 的 存储 网 络 技术 号 称 能 够 更 进一步 提高 信息 服务 的 弹性 和 灾难 可 恢复 
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性 。 使 用 TCP/IP 网 络 的 IO 技术 可 以 让 存储 与 服务 器 之 间 的 相对 位 置 距离 达到 数 千 千 
米 。 在 计算 机 房 内 ， 人 们 期 望 正 lfiniBand 能 够 提高 服务 器 间 的 通信 速度 ， 实 更 高 性 能 ， 
支持 集群 和 分 布 式 数据 库 系统 。 


2. 光纤 信道 技术 的 改进 


像 大 多 数 计算 机 相关 技术 一 样 ， 光 纤 信 道 也 迅速 发 展 。 近 来 光纤 信道 技术 的 改进 
如 下 。 

(1) 交换 机 、 指 引 器 、HBA 卡 和 存储 设备 的 数据 传输 速率 高 达 2Gbps。 

(2) 新 标准 提高 了 交换 机 之 间 的 路 由 、 分 区 和 ISL 的 互 操作 性 。 

预计 光纤 信道 在 未 来 会 有 以 下 改进 。 

(1) 互 操 作 性 进一步 增强 。 

(2) 数据 传输 速度 达到 10Gbps。 

(3) 自治 区 域 建立 。 

(4) 其 他 广 域 ( 如 ATM 和 SONET) 互 连 的 桥接 设备 。 

这 些 改进 将 会 提高 光纤 信道 存储 网 络 的 基本 性 能 ， 并 在 广 域 集群 、 远 程 备份 、 远 程 
镜像 与 复制 的 设备 之 间 实 现 更 远 距离 的 连接 。 


3. lnfiniBand 


服务 器 IO 总 线 (如 PCI) 一 般 位 于 服务 器 内 部 ，IO 互 连 和 计算 机 内 存 控制 器 之 间 
的 “ 桥 ” 距 离 为 几 英尺 。InfiniBand 设计 带 有 一 个 外 接 盒 结构 ， 可 以 取代 内 部 服务 器 总 
线 ,使 TO 总 线 最 远 可 以 扩展 到 距离 服务 器 100 米 的 位 置 .InfiniBand 是 基本 速率 为 23Gbps 
的 连接 ， 也 可 以 配置 10Gbps 和 30Gbps 比特 的 速率 ， 并 且 支 持 两 个 计算 机 内 存 之 间 的 低 
耗 传输 。 

lnfiniBand 的 实施 不 采用 HBA 卡 ， 而 是 通过 服务 器 端的 主机 通道 适配器 (HCA)， 
以 及 其 他 设备 的 目标 通道 适配器 (TCA)， 可 支持 点 对 点 和 交换 式 结构 拓扑 。 

我 们 并 不 希望 InfiniBand 取代 光纤 信道 ， 而 是 愿意 看 到 InfiniBand 成 为 服务 器 之 间 
的 互 连 设备 ， 以 便 可 以 连接 光纤 信道 和 千 兆 以 太 网 络 。InfiniBand 将 在 弹性 基础 设施 中 
占有 重要 位 置 ， 因 为 它 能 够 让 分 布 式 文件 系统 和 数据 库 减 少 信息 处 理 延 时 。 


4. iSCSI 《TCP/IP1 上 的 块 存储 ) 


新 兴 iSCSI 协议 (一 种 TCP/IPULP) 的 开发 目的 是 为 了 通过 经 过 验证 的 SCSI 指令 
集 , 在 同样 经 过 验证 的 TCP/IP 网 络 上 实现 块 数据 访问 。 第 一 代 iSCSI 组 件 包括 专用 HBA 
卡 、 存 储 子 系统 和 交换 机 。 所 有 这 些 组 件 都 可 以 实现 服务 器 和 存储 设备 的 互 连 。iSCSI 
协议 对 信息 服务 弹性 的 一 个 预期 影响 是 能 够 让 小 型 部 门 系统 使 用 存储 网 络 弹性 。iSCSI 
技术 也 可 让 远程 服务 器 直接 使 用 基于 光纤 信道 的 磁盘 和 磁带 设备 进行 备份 ， 而 不 需要 采 
用 备份 服务 器 。 

随 着 时 间 的 推进 , 当 iSCSI 标准 成 熟 , HBA 卡 性 能 增强 时 , 在 异 构 数据 访问 应 用 (如 
在 线 交 易 处 理 、 备 份 和 任何 一 种 远程 数据 访问 ) 中 使 用 iSCSI 协议 可 能 成 为 继 NAS 之 后 
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的 又 一 选择 。 
5. FCIP 


支持 远 距离 存储 网 络 的 又 一 项 新 兴 技术 是 通过 TCP/IP 网 络 建立 光纤 信道 协议 的 隧 
道 ， 被 称 为 FCIP。FCIP 使 用 IP 隧道 ， 将 远 距 离 的 独立 光纤 信道 SAN 孤岛 连接 成 一 个 
SAN， 如 图 9-23 所 示 。 通 过 把 光纤 信道 的 数据 帧 封装 在 IP 数据 包 内 ，FCIP 隧道 可 以 实 
现 光纤 信道 的 数据 帧 在 广域网 的 传输 。 存 储 网 络 的 组 件 通过 网 关内 执行 的 FCIP 相互 连 
接 ， 共 享 光纤 信道 名 称 和 地 址 空间 。 


光纤 信道 p 
SANA 网 关 


到 过 FCIP 通 道 三 
创建 的 扩展 的 
SAN 


图 9-23 使 用 FCIP 连接 SAN 孤岛 的 广 域 存储 网 络 


FCIP 能 够 让 光纤 信道 存储 网 络 扩展 到 100 千 米 以 外 ， 从 而 实现 远程 镜像 、 远 程 备 
份 和 恢复 。FCIP 能 够 将 局 域 网 、 园 区 网 、 城 域 网 或 全 球 的 SAN 孤岛 互 连 到 全 球 存储 
网 络 。 


6. iFCP 

建立 FCIP 隧道 的 另外 一 个 选择 就 是 将 整个 存储 网 络 基础 设施 构建 在 TCP/IP 协议 之 
上 。 下 CP 网 关 能 够 用 来 将 光纤 信道 服务 器 和 存储 设备 连接 入 TCP/IP 网 络 基础 设施 。 而 
下 CP 网 关 端 口 可 让 光纤 信道 服务 器 和 设备 连 入 现 有 的 TCP/IP 网 络 。 

像 FCIP 技术 一 样 ， 下 CP 能 够 将 光纤 信道 存储 网 络 扩展 到 100 千 米 以 外 。 这 种 技术 
也 可 用 于 部 门 级 别 的 存储 网 络 容量 后 向 扩展 。 


纤 信 道 iFCP iFCP 光纤 信道 
一代 人 有 忠 一 沟 生 | 


光纤 信道 纤 信 首 
设备 设备 


死守 信道 | | iFCP | [ 死 呈 信道 
设备 一 | 设备 


图 9-24 使 用 还 CP 将 光纤 信道 设备 连 入 TCP/IP 网 络 的 广 域 存储 网 络 


第 9 章 数据 存储 备份 与 灾难 恢复 系统 及 应 用 265 


9.4.6 广 域 配置 和 性 能 问题 
1. 衰减 


尽管 光速 高 得 不 可 思议 ， 但 它 也 不 是 无 限 的 。 光 从 一 个 地 方 到 另 一 个 地 方 需要 时 
间 ， 路 程 越 长 ， 传 输 时 间 就 越 长 。 在 将 数据 发 送 到 更 远 的 距离 时 ， 传 输 时间 引 起 的 延迟 
必然 也 会 更 长 。 

衰减 这 一 名 称 就 是 指数 据 被 发 送 到 很 远 的 距离 时 ， 它 的 可 靠 数据 传输 速率 就 会 减 小 
《和 由 此 引起 的 延迟 增加 )。 衰 减 在 存储 网 络 中 比 在 消息 传送 网 络 中 更 重要 ， 因 为 后 者 更 
适合 处 理 数 据 包 的 不 可 靠 和 无 序 到 达 。 存 储 网 络 协议 假定 “ 线 上 ”有 一 种 级 别 高 得 多 的 
数据 完整 性 。 由 于 信号 完整 性 会 随 距 离 的 增加 而 降低 ， 所 以 超过 临界 距离 通常 会 导致 存 
储 网 络 性 能 降低 。 

一 般 而 言 ， 互 连 技术 限制 传输 速度 ， 而 协议 流 控制 机 制 则 限制 距离 。 图 9-25 显示 了 
4 种 常用 存储 网 络 协议 的 衰减 特征 。 


MB/ 秒 


早期 光纤 信道 FICON， 具 有 足够 缓冲 区 
的 光纤 信道 


距离 ( 千 米 ) 
图 9-25 各 种 协议 的 数据 传输 速度 衰减 


从 图 9-25 可 以 看 出 ， 采 用 ESCON， 在 大 约 1 千 米 的 地 方 即 发 生 显著 衰减 。 这 是 因 
为 ESCON 是 一 种 单 向 互 连 。 当 终端 设备 没有 足够 缓冲 能 力 使 光纤 保持 弹性 时 ， 光 纤 信 
道 和 FICON 都 会 出 现 衰减 .只 有 少数 缓冲 区 的 早期 光纤 信道 组 件 在 大 约 5 千 米 的 地 方 出 
现 明显 衰减 ， 在 10 千 米 处 出 现 严 重 衰减 。 现 在 ， 设 备 一 般 都 带 有 大 得 多 的 缓冲 容量 ， 能 
在 只 有 很 少 或 无 衰减 的 情况 下 ， 进 行 长 达 100 千 米 范围 的 长 距离 通信 。 缓 冲 并 不 能 消除 
衰减 ， 它 只 是 允许 连续 性 传输 ， 更 完整 地 占用 互 连 ， 从 而 推迟 衰减 的 出 现 。 


2. DWDM 和 城 域 网 


DWDM 在 运营 商 网 络 和 企业 网 络 中 都 得 到 了 应 用 ， 另 外 还 被 运营 商 和 骨干 网 络 提 
供 商用 来 提高 光线 的 可 用 带宽 。 对 于 大 型 企业 ，DWDM 可 以 实现 通路 的 自 配置 ， 以 支 
持 一 条 暗 光 纤 上 的 多 条 互 连 ， 从 而 简化 网 络 管理 。 在 图 9-26 所 示 的 例子 中 ， 光 纤 信 道 、 
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FICON、ESCON 和 千 兆 以 太 网 都 使 用 一 条 光纤 ， 通 过 DWDM 设备 连接 到 其 他 站 点 。 


OS390 Open & NT 主 站 点 


4 FICON Fep 天 
分 支 站 点 
| ESCON | | 光纤 信道 || ”IP | 千 兆 以 太 网 千 兆 以 太 网 
| FCP 
辅 站 点 恢复 站 点 
|_ ESCON 千 兆 以 太 网 目 
OS390 FCP 
FICON | 9 


图 9-26 DWDM 城 域 网 


使 用 DWDM 的 优点 如 下 。 

(1) 提高 性 能 和 带宽 。 

(2) 在 一 条 上 暗 光 纤 互 连 上 ， 支 持 多 种 网 络 技术 。 

(3) 用 户 自行 设置 网 络 容 量 ， 可 缩短 应 用 程序 的 前 置 时 间 。 
(4) 通过 企业 控制 网 络 ， 增 加 安全 性 。 

(5) 需要 管理 的 光纤 互 连 更 少 。 


3. DWDM 的 工作 原理 


光 网 络 通过 迅速 打开 和 关闭 光源 而 连续 发 送 数据 。 与 电子 数据 传输 方式 一 样 ， 数 据 
被 编码 进 光 脉冲 的 序列 和 时 限 中 。 光 数据 传输 与 通过 以 不 同方 式 打开 和 关闭 光源 来 发 送 
英 尔 斯 代码 的 闪光 信号 灯 非 常 相似 。 

DWDM 的 工作 方式 是 ， 将 这 些 不 同 颜色 的 调制 光复 用 到 一 条 上 暗 光 纤 上 。 为 了 
进行 传输 ， 不 同 信 道 的 不 同 颜 色 信 号 被 复制 到 一 起 。 图 9-27 显示 了 DWDM 设备 的 接收 
器 通过 功能 类 似 于 棱镜 的 光 分 离 器 来 发 送 接收 到 的 光 ， 将 色 带 分 成 名 为 Lambda 的 独立 
信道 。 


红 
绿 
传 入 的 Wy 蓝 。 Lambdas 
光 信号 
黄 
青 


9-27 ”将 光 分 成 Lambda 以 创建 虚拟 信道 
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在 图 9-27 中 ， 每 一 个 独立 的 颜色 信号 (Lambda) 代表 一 个 不 同 的 虚拟 信道 ， 等 同 
于 支持 一 条 网 络 互 连 的 专用 光纤 。 使 用 合适 的 信号 转换 器 、FDDI、 千 兆 以 太 网 、ATM、 
光纤 信道 、FICON 和 ESCON 都 可 以 在 一 条 光纤 的 不 同 Lambda 上 运行 。 每 条 互 连 的 功 
能 都 像 使 用 了 专用 光纤 一 样 。 在 一 条 互 连 上 的 通信 不 会 影响 其 他 互 连 的 性 能 ， 通 过 增加 
端口 卡 ， 可 以 对 物理 光纤 上 的 额外 带宽 加 以 利用 。DWDM 设备 有 两 类 ， 分 别称 为 企业 
级 设备 和 运营 商 级 设备 。 企 业 级 DWDM 设备 一 般 支持 16 到 64 个 端口 ， 并 具有 一 些 内 
置 弹性 。 运 营 商 级 设备 往往 具有 更 多 的 端口 和 特别 高 的 弹性 ， 成 本 也 更 高 。 

4. SONET 


同步 光 网 络 (SONET) 和 同步 数字 分 级 系统 (SDH) 一 起 形成 了 全 球 网 络 的 骨干 。 
后 者 主要 在 美国 以 外 的 地 区 使 用 。SONET 和 SDH 本 质 上 是 相同 的 。SONET 提供 OC-1、 
OC-3、OC-12 等 各 种 固定 带宽 连接 ， 并 使 多 个 会 话 共享 同一 光 费 。 

SONET 具有 城 域 和 广域网 第 二 层 互 连 的 作用 ， 其 带宽 取决 于 拓扑 结构 。 它 可 以 在 同 
一 物理 线 缆 的 不 同 信道 上 传送 话音 和 数据 通信 。 可 以 根据 使 用 服务 的 类 型 ， 将 带宽 分 配 
给 不 同 用 户 和 工作 负载 。 光 纤 信 道 骨干 网 (FCBB ) 网 关 设 备 可 以 用 SONET 取代 TCP/IP， 
将 存储 网 络 的 传输 距离 扩展 到 100 一 200 千 米 以 上 。 


5. 信道 扩展 


基于 磁盘 子 系统 的 远 距 离 镜像 成 为 一 种 广泛 使 用 的 数据 灾难 防护 技术 。 基 于 磁盘 子 
系统 的 镜像 需要 在 每 个 位 置 都 支持 该 功能 的 类 似 存储 设备 ， 以 及 合适 的 互 连 。 有 些 实施 
方案 还 需要 名 为 信道 扩展 器 的 专用 设备 ， 在 网 络 间 移 动 数据 。 信 道 扩展 器 执行 多 种 重要 
功能 。 

(1) 特定 设备 互 连 和 运营 商 网 络 之 间 的 界面 连接 。 

(2) 动态 分 配 带宽 ， 并 通过 压缩 传输 数据 来 实现 带宽 的 最 优化 使 用 。 

(3) 网 络 间 的 故障 切换 。 


6. 扩展 存储 网 络 


建立 在 信道 扩展 技术 之 上 的 存储 网 络 路 由 器 能 使 广 域 存储 网 络 扩展 到 比 MAN 更 远 
的 距离 。 存 储 网 络 路 由 器 不 同 于 信道 扩展 器 ， 因 为 它们 是 设备 ， 而 且 独 立 于 协议 。 存 储 
网 络 路 由 器 本 质 上 以 隧道 形式 让 SAN 通信 通过 广域网 络 ， 而 不 管 服务 器 、HBA、 存 储 
设备 和 应 用 类 型 如 何 。 一 种 隧道 设备 是 FCIP， 它 使 用 TCP/IP 网 络 ， 在 SAN 之 间 发 送 光 
纤 信 道 帧 。 

TCP/P 协议 假定 物理 互 连 不 可 靠 ， 数 据 包 可 能 在 传输 中 丢失 。 这 个 假定 是 在 用 软件 
克服 链 路 不 可 靠 性 的 情况 下 ， 使 用 廉价 硬件 成 为 可 能 ， 从 而 有 助 于 降低 网 络 成 本 。 低 成 
本 硬件 使 TCP/IP 网 络 得 到 普及 ， 并 使 其 成 为 存储 网 络 界 面 的 一 种 颇具 吸引 力 的 选择 。 

TCP/IP 由 于 要 消耗 大 量 处 理 功能 而 大 受 批 评 ， 特 别 是 在 存储 访问 等 需求 高 的 应 用 
中 。 为 了 克服 这 个 缺点 ， 有 人 开发 出 了 TCP 减 载 引 擎 (TOE)。TOE 可 将 网 络 协议 处 理 
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转移 到 专用 外 部 处 理 器 。 除 了 在 TCP/IP 网 络 上 实现 存储 网 络 之 外 ，TOE 还 有 可 能 提高 
消息 传送 网 络 的 性 能 。 


7. 距离 与 元 余 性 


要 使 企业 信息 服务 具有 弹性 ， 距 离 和 宛 余 性 是 两 个 关键 因素 。 一 般 情况 下 ， 提 高 任 
何 一 个 因素 都 将 带 来 更 高 的 成 本 和 更 低 的 性 能 。 成 本 效率 显而易见 , 元 余 需 要 更 多 硬件 ， 
更 长 的 距离 需要 更 多 的 通信 设施 ， 这 都 会 增加 成 本 。 距 离 的 增加 最 终 会 产生 衰减 ， 衰 减 
会 降低 性 能 。 同 样 ， 监 控 宛 余 组 件 ， 以 及 在 镜像 或 复制 存储 情况 下 的 重复 操作 等 ， 都 将 
使 系统 不 得 不 处 理 更 多 工作 ， 这 都 会 对 性 能 造成 不 良 影响 。 但 是 ， 企 业 愿意 付出 所 有 这 
些 成 本 ， 因 为 伴随 这 些 成 本 的 是 更 高 的 信息 服务 可 用 性 。 

许多 信息 服务 者 即 可 能 归结 于 非 元 余 重要 通信 组 件 故障 。 尽 管 弹性 系统 设计 应 当 包 
括 组 件 之 间 的 元 余 连 接 ， 但 是 企业 必须 确保 元 余 链 路 实际 上 具有 真正 的 元 余 性 ， 而 不 是 
要 在 其 路 径 上 的 任何 地 方 进行 融合 。 如 边栏 所 示 ， 在 使 用 运营 商 提供 的 远 距离 连接 中 ， 
这 种 保障 特别 困难 (但 很 重要 )。 例 如 ， 如 果 在 某 一 点 将 两 条 外 部 网 络 链 路 连接 到 一 条 共 
享 光纤 ， 这 条 光纤 就 是 一 个 单 故 障 点 ， 它 的 故障 会 导致 网 络 连通 性 完全 丧失 ， 即 使 系统 
具有 明显 的 元 余 性 也 不 例外 。 


8. 客户 机 访问 问题 


无 论 企业 信息 服务 远程 用 户 是 在 主 站 点 还 是 在 恢复 站 点 进行 操作 ， 它 们 都 必须 有 充 
足 的 带宽 和 访问 能 力 ， 才 能 在 灾难 恢复 过 程 中 与 服务 通信 。 

网 络 带宽 的 增加 ， 为 逐渐 增加 的 “虚拟 办 公 室 ”工作 人 员 提 供 支 持 。 但 是 ， 企 业 还 
必须 对 网 络 和 防火 墙 进行 设计 ， 使 其 能 在 灾难 恢复 过 程 中 ， 远 程 办 公 人 员 比 平常 多 的 情 
况 下 ， 安 全 处 理 更 多 的 远程 通信 ， 通常， 复制 通常 在 企业 内 部 网 或 由 服务 提供 商 托管 的 
站 点 上 内 部 使 用 的 重要 信息 是 有 用 的 。 无 论 采 用 哪 种 解决 方案 ， 在 发 生 任何 灾难 (包括 
拒绝 服务 攻击 ) 前， 重要 信息 都 必须 便于 使 用 。 


9. 安全 


当 远 程 用 户 通过 互联 网 (本 身 就 不 安全 〉 连接 到 企业 信息 服务 时 ， 安 全 考虑 因素 会 
不 可 避免 地 浮 出 水 面 。 对 提高 远程 用 户 的 安全 性 来 说 ， 配 置 可 以 通过 互联 网 创建 安全 隧 
道 的 虚拟 专用 网 〈VPN) 和 保证 终端 安全 性 的 物理 设备 是 两 种 有 用 的 方法 。 

在 正常 时 段 和 服务 中 断 期 间 ， 网 络 和 系统 的 安全 都 是 至 关 重 要 的 。 一 个 尤其 险恶 的 
新 兴 威 胁 是 分 布 拒绝 服务 攻击 。 在 这 种 攻击 中 , 一 个 自 繁殖 程序 会 在 整个 互联 网 上 扩散 
并 以 数 千 个 虚假 请 求 淹没 服务 器 ， 从 而 阻挡 合法 请 求 。 

网 络 安全 应 当 覆 盖 企 业 网 络 本 身 和 所 有 站 点 (包括 家 庭 办 公 室 )， 从 企业 网 络 的 所 
有 站 点 对 信息 服务 的 远程 访问 是 有 效 的 。 保 证 家 庭 办 公 室 安全 需要 诸如 VPN、 定 期 更 新 
的 病毒 检测 器 、 系 统 化 备份 、 仅 限 员工 使 用 计算 机 的 策略 等 机 制 。 
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9.4.7 “弹性 网 络 的 设计 原则 


让 企业 网 络 具 备 弹性 的 总 原则 与 信息 服务 系统 其 他 部 分 的 弹性 原则 有 许多 共同 
之 处 。 

(1) 将 元 余 光 缆 彼此 分 开 。 光 缆 与 其 他 电线 一 样 容易 受到 物理 破坏 (如 钢 耕 机 的 
破坏 )。 

(2) 记录 网 络 配置 、 参 数 和 历史 ， 并 将 记录 与 其 他 恢复 文档 存储 在 一 起 ， 以 便 灾 难 
恢复 时 易于 访问 。 

(3) 将 防火 墙 、 网 络 连接 和 网 路 基础 设施 电源 与 冷却 考虑 进 元 余 性 规划 和 配置 中 ， 
以 最 大 限度 地 减少 故障 的 易 发 性 。 

(4) 提供 充足 的 网 络 容量 ， 以 处 理 通常 会 在 灾难 恢复 过 程 中 发 生 的 大 量 远 程 通信 。 

(5) 使 用 积极 的 病毒 扫描 和 严格 的 访问 控制 ， 保 护 企 业 网 络 和 信息 服务 免 遭 服务 攻 
击 拒绝 。 

(6) 保护 网 络 设备 和 线 费 连 接 ， 使 其 免 受 物理 损坏 。 尽 管 光纤 不 会 被 水 破坏 ， 但 是 
放大 器 和 其 他 电子 设备 却 依然 会 受到 水 的 影响 。 


9.5 辽宁 电力 数据 备份 及 灾难 恢复 系统 应 用 实例 


本 节 介绍 辽宁 电力 数据 备份 及 灾难 恢复 系统 建设 历程 ， 主 要 功能 包括 : 覆盖 全 部 操 
作 系统 平台 的 应 用 及 数据 库 备份 系统 ， 实 现 全 省 数据 中 心 各 主要 系统 的 自动 数据 备份 和 
14 个 地 市 的 主要 系统 的 自动 备份 和 恢复 ， 以 及 省 中 心 对 各 地 市 数据 的 远程 灾难 备份 和 
恢复 。 


9.5.1 现状 分 析 及 系统 建设 日 标 


1. 现状 及 存在 的 问题 


辽宁 电力 现在 运行 的 系统 包括 营销 数据 系统 、MIS 管理 系统 、 客 户 服务 系统 、OA 
系统 、GIS 管理 系统 、 发 行 系统 等 。 这 些 系统 的 数据 已 经 成 为 辽宁 电力 公司 最 宝贵 的 财 
富 之 一 ， 因 此 应 及 早 建立 科学 、 有 效 的 数据 备份 措施 和 观念 ， 防 患 于 未 然 。 这 就 要 求 对 
企业 的 核心 业务 数据 有 一 套 完整 的 备份 方案 ， 以 保证 企业 中 最 重要 的 资源 一 一 各 业务 系 
统 数据 的 安全 。 保 证 一 旦 发 生 不 可 预知 的 系统 灾难 时 ， 能 够 保证 数据 资料 不 会 丢失 ， 同 
时 能 在 最 短 的 时 间 内 恢复 系统 运行 ， 将 企业 的 损失 减少 到 最 小 程度 。 另 外 ， 如 何 实现 全 
省 各 子 系统 与 省 中 心 系 统 的 统一 规划 以 及 全 省 的 集中 和 高 效率 的 数据 管理 ， 体 现 全 省 一 
盘 棋 的 思想 ， 也 是 备份 系统 建设 的 重要 方面 。 

辽宁 电力 现 有 的 信息 应 用 系统 均 采 用 传统 的 存储 管理 模式 ， 具 有 结构 简单 ， 配 置 灵 
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活 的 特点 。 但 其 不 足 之 处 也 是 显而易见 的 。 

(1) 数据 备份 的 结构 为 网 络 备份 ， 大 量 数据 要 通过 网 络 传输 到 备份 服务 器 的 存储 设 
备 上 ， 当 备份 数据 量 较 大 时 ， 会 严重 占用 网 络 带宽 ， 影 响 网 络 上 服务 器 的 正常 应 用 。 并 
经 常 出 现 备份 服务 器 连接 不 到 客户 端的 情况 。 

(2) 备份 设备 容量 及 性 能 远 远 不 能 满足 大 量 数据 及 应 用 系统 备份 的 要 求 ， 备 份 空间 
紧张 、 备 份 速度 慢 。 

(3) 备份 服务 器 和 磁带 库 通 过 SCSI 电缆 相连 ， 当 从 网 络 传送 来 的 数据 量 过 大 时 
SCSI 接口 带宽 有 限 ， 会 形成 瓶颈 ， 影 响 备 份 任务 的 完成 。 

(4) 备份 任务 繁重 ， 每 个 带 库 一 个 驱动 器 满足 不 了 大 量 数据 备份 的 要 求 ， 需 要 增加 
速度 更 快 、 容 量 更 大 的 带 库 及 驱动 器 。 

(5) Legato 数据 备份 软件 客户 端 数量 支持 有 限 ， 难 于 满足 应 用 系统 扩展 的 需要 。 

(6) 备份 设备 已 过 保修 期 ， 设 备 故障 率 增高 。 

(7) 系统 、 数 据 备份 过 多 依赖 人 工 操作 ， 对 工作 人 员 的 素质 要 求 高 ， 耗 费 人 力 资源 。 

(8) 数据 安全 性 差 ， 管 理 难度 大 ， 很 容易 造成 无 序 管理 。 

根据 辽宁 电力 信息 化 建设 的 规划 ， 在 近年 内 辽宁 电力 将 陆续 开发 十 几 个 信息 应 用 系 
统 ， 辽 宁 电 力 对 信息 系统 的 依赖 程度 将 大 大 提高 ， 保 障 数据 的 安全 ， 对 辽宁 电力 运营 将 
起 到 决定 性 作用 。 对 几 十 个 系统 的 存储 进行 单独 、 人 工 管理 ， 工 作 量 将 是 巨大 的 ， 其 难 
度 也 可 想 而 知 。 它 需要 十 几 甚至 是 几 十 位 高 素质 的 技术 和 管理 人 员 ， 复 杂 细 致 的 管理 规 
定 和 工作 流程 ,高 标准 的 介质 存放 场地 。 关 键 问 题 是 一 切 依靠 人 , 而 人 是 很 容易 出 错 的 。 
一 旦 造成 数据 遗失 ， 或 是 需要 恢复 时 数据 却 不 可 用 ， 损 失 难 以 挽回 。 


2. 系统 建设 的 目标 


根据 辽宁 电力 信息 化 建设 对 数据 存储 备份 的 需求 和 存储 技术 可 能 提供 的 解决 方 
案 ， 备 份 系统 建设 目标 定义 如 下 。 

数据 信息 存储 集中 管理 系统 建设 ， 为 辽宁 电力 信息 化 建设 搭建 数据 存储 备份 、 管 理 
平台 。 具 体 为 3 个 方面 的 问题 ， 第 一 ， 为 辽宁 电力 所 有 重要 信息 系统 的 在 线 存储 整合 提 
供 规划 方案 ， 实 现在 线 存储 资源 的 统一 管理 和 调度 ， 第 二 ， 对 所 有 重要 应 用 系统 实行 统 
一 的 自动 备份 /恢复 管理 。 包 括 系统 级 备份 与 恢复 和 数据 级 备份 与 恢复 ; 第 三 ， 在 高 于 上 
述 两 点 的 层面 上 ， 将 存储 相关 资源 ， 数 据 、 介 质 、 设 备 作 为 一 种 企业 资源 进行 管理 ， 分 
析 其 使 用 趋势 ， 价 值 ， 为 公司 的 信息 技术 投资 提供 参考 。 

数据 信息 存储 集中 管理 ， 既 不 是 存储 介质 物理 上 的 集中 ， 也 不 是 数据 的 集中 存放 ， 
而 是 存储 资源 、 数 据 逻 辑 上 的 统一 管理 。 尽 管 从 系统 的 某 个 局 部 看 起 来 存在 数据 物理 上 
的 集中 ， 但 并 不 反映 存储 集中 管理 的 本 质 。 项 目的 关键 不 是 数据 的 集中 存储 ， 而 是 存储 
的 集中 管理 。 

数据 信息 存储 集中 管理 系统 ， 不 是 一 个 简单 的 系统 ， 而 是 整个 信息 系统 的 存储 管理 

台 。 它 将 取代 由 各 应 用 系统 独立 管理 存储 资源 的 存储 模式 ， 将 应 用 系统 中 管理 存储 资 
源 的 任务 大 部 分 交 给 存储 管理 平台 去 完成 。 比 如 ， 应 用 系统 不 需要 有 自己 的 盘 阵 和 磁带 
机 ， 应 用 系统 的 管理 人 员 无 需 人 工 对 数据 进行 备份 和 恢复 。 所 有 这 些 功能 都 由 存储 管理 
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平台 去 完成 。 

根据 辽宁 电力 业务 系统 存储 状况 的 需求 分 析 ， 辽 宁 电力 备份 系统 最 终 目标 是 为 辽宁 
电力 系统 提供 一 套 高 效 和 安全 的 灾难 备份 系统 ， 即 建立 一 个 覆盖 全 部 操作 系统 平台 的 应 
用 及 数据 库 备 份 系统 ， 实 现 全 省 数据 中 心 各 主要 系统 的 自动 化 数据 备份 和 各 地 市 的 主要 
系统 的 自动 化 备份 和 恢复 ， 以 及 省 中 心 对 各 地 市 数据 的 远程 灾难 备份 和 恢复 ， 备 份 的 管 
理 采 用 内 部 备份 管理 和 全 省 远程 集中 管理 相 结合 的 方式 。 具 体 实现 如 下 要 点 。 

(1) 在 辽宁 省 电力 公司 信息 中 心 建立 起 辽宁 电力 数据 信息 存储 集中 管理 中 心 。 

(2) 部 署 存 储备 份 及 资源 管理 软件 。 

(3) 实现 省 中 心 对 各 地 市 局 关键 业务 数据 的 远程 备份 。 

(4) 实现 各 地 市 数据 中 心 本 地 全 备份 和 恢复 。 

(5) 省 公司 与 沈阳 局 建立 全 省 的 数据 信息 存储 灾 备 中 心 ， 实 现 同城 异地 应 用 级 的 
备份 。 

(6) 实现 全 省 数据 备份 和 恢复 的 统一 集中 管理 、 监 控 。 

(7) 简单 、 友 好 的 管理 操作 方式 。 

(8) 数据 库 在 线 备 份 。 

(9) 系统 文件 在 线 备份 。 

(10) 数据 和 操作 系统 的 快速 灾难 恢复 。 

(11) 数据 库 的 备份 采用 全 备份 方式 以 及 归档 ， 提 供 一 个 合理 的 备份 策略 ， 获 得 较 好 
的 备份 恢复 效果 。 

(12) 建立 适用 于 辽宁 电力 全 省 范围 的 数据 信息 存储 管理 模式 、 规 章 和 制度 。 

(13) 对 辽宁 电力 数据 信息 存储 集中 管理 系统 在 线 及 二 级 存储 进行 扩容 ， 不 断 接 入 
新 的 应 用 系统 ， 满 足 辽 宁 电 力 IT 系统 五 年 规划 建设 的 需要 。 

(14) 这 种 备份 系统 既 要 求 采用 先进 的 备份 技术 又 要 求 具 有 很 高 的 稳定 性 和 可 靠 
性 ， 这 就 要 求 对 系统 的 各 个 环节 进行 深入 的 技术 分 析 ， 使 系统 的 各 个 环节 均 能 够 有 机 地 
形成 整体 ， 充 分 发 挥 系统 的 整体 效能 。 

(15) 全 省 统一 的 集中 管理 和 监控 。 

由 于 备份 系统 在 维护 、 管 理 技术 上 具有 极 强 的 专业 性 ， 对 于 管理 人 员 的 素质 和 专业 
知识 要 求 较 高 。 如 果 缺 少 专 业 人 员 的 维护 ， 系 统 有 可 能 无 法 有 效 地 运行 ， 备 份 系统 可 能 
无 法 为 应 用 系统 提供 良好 的 服务 。 如 果 各 地 市 数据 中 心 均 建立 自身 的 备份 管理 体系 和 管 
理 队 伍 ， 管 理 成 本 较 高 。 建 立 省 中 心 的 备份 管理 中 心 可 以 有 效 地 解决 这 个 问题 。 

备份 管理 软件 NetBackup 是 面向 企业 级 的 多 层次 备份 体系 。 在 各 中 心 的 备份 体系 之 
上 (Backup Master Server)， 还 提供 了 Global Data Manager 的 高 层次 管理 机 制 (master of 
masters)， 此 备份 管理 中 心 可 以 建立 在 省 中 心 ， 专 业 的 备份 管理 人 员 通 过 备份 管理 中 心 
对 全 省 的 各 备份 作业 和 策略 进行 远程 调度 和 控制 ， 实 现 统一 和 集中 的 监控 。 各 地 市 数据 
中 心 的 管理 人 员 只 需 对 备份 系统 的 硬件 设备 进行 常规 定期 维护 ， 确 保 畅通 。VERITAS 软 
件 的 这 一 有 效 机 制 大 大 提高 了 备份 系统 的 可 管理 能 力 ， 提 高 了 备份 系统 的 管理 效率 。 

(16) 远程 灾难 备份 。 要 实现 远程 数据 灾难 备份 ， 就 是 为 了 保证 本 地 数据 的 安全 性 ， 
建立 一 个 异地 的 数据 备份 系统 ， 该 备份 系统 是 本 地 关键 应 用 数据 的 一 个 复制 。 在 本 地 数 
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据 及 整个 应 用 系统 出 现 灾难 时 ， 至 少 在 异地 保存 有 一 份 可 用 的 关键 业务 的 数据 。 

(17) 在 辽宁 电力 备份 系统 中 ， 省 中 心 和 各 地 市 数据 中 心 备份 系统 设计 有 所 不 同 。 
省 中 心 作为 全 局 备份 的 核心 ， 一 方面 实现 对 省 中 心 应 用 数据 的 备份 ， 另 一 方面 ， 也 要 实 
现 与 沈阳 数据 中 心 互 为 100% 备 份 ， 达 到 异地 灾难 备份 的 目的 。 除 此 以 外 ， 省 中 心 还 要 实 
现 对 其 他 地 市 数据 中 心 关键 数据 的 远程 备份 。 因 此 ， 省 中 心 要 解决 海量 数据 备份 的 性 能 
问题 。 

(18) 在 各 地 市 数据 中 心 ， 沈 阳 市 数据 中 心 与 省 中 心 互 为 灾 备 中 心 ， 除 了 备份 本 身 
的 数据 外 ， 还 要 实现 与 省 中 心 互 为 100% 备 份 ， 因 此 数据 量 很 大 ， 也 存在 保证 海量 数据 备 
份 的 性 能 问题 。 而 其 他 市 数据 中 心 仅 需要 备份 或 归档 本 市 数据 中 心 的 数据 ， 数 据 量 相对 
较 小 ， 采 用 网 络 备份 系统 可 以 减少 系统 复杂 度 、 降 低 开销 。 

(19) 快速 可 靠 的 灾难 恢复 。 业 务 数据 是 电力 公司 业务 运营 的 基石 ， 因 此 ， 离 线 数 
据 的 安全 性 和 可 用 性 是 非常 重要 的 。 在 发 生 故障 时 ， 无 论 灾 难 是 小 到 磁盘 阵列 出 错 ， 还 
是 大 到 整个 机 房 受 损 ，NetBackup 都 能 根据 主 备份 进行 完全 恢复 或 部 分 恢复 ， 而 且 还 能 
恢复 灾难 现场 外 的 应 用 或 服务 器 。 

首先 ，NetBackup 能 自动 对 主 备份 进 行 复制 。 这 些 复制 的 辅助 磁带 可 以 保存 在 另外 
的 地 方 。 

其 次 ，NetBackup 将 把 多 路 分 散 的 数据 合并 起 来 ， 这 样 数据 就 可 以 共存 在 相同 的 磁 
带 上 。 这 样 做 的 原因 是 大 多 数 软件 安装 时 都 有 必须 要 首先 运行 起 来 的 关键 任务 应 用 ， 必 
须要 首先 运行 起 来 ， 如 果 数 据 共存 在 一 起 ， 进 行 选择 性 恢复 的 过 程 就 会 大 大 加 快 。 

第 三 ，NetBackup 建立 的 备份 文件 符合 TAR 格式 。NetBackup 用 自己 的 方法 把 数据 
转移 或 写 到 磁带 上 ， 以 确保 数据 的 可 靠 性 ， 同 时 这 些 磁带 也 可 以 由 基本 的 UNIX 设备 

第 四 ， 要 实现 故障 恢复 的 完全 自动 化 ，NetBackup 提供 了 全 面 的 库 管理 。 这 一 选项 
包括 取出 复制 的 磁带 ， 放 到 磁带 库 的 IO 模 ， 查 看 打印 各 种 格式 的 报告 等 。 另 外 ， 磁 带 
可 以 从 异地 的 磁带 库 中 自动 取出 或 放 入 。 


9.5.2 备份 系统 架构 选择 


综合 考虑 当前 辽宁 电力 系统 全 省 的 数据 存储 状况 , 我 们 采用 LAN-Base 与 LAN-Free 
相 结 合 的 混合 备份 方式 。 即 在 省 中 心 和 沈阳 市 数据 中 心 构造 SAN， 对 数据 量 大 的 关键 业 
务 数据 采用 LAN-Free 备份 方式 ， 而 在 其 他 业务 数据 和 其 他 地 市 数据 中 心 采用 LAN-Base 
备份 方式 。 这 种 备份 方式 的 选择 ， 既 可 以 满足 辽宁 电力 近 阶段 数据 备份 的 要 求 ， 又 利于 
备份 系统 以 后 全 部 平滑 过 渡 到 LAN-Free 备份 结构 〈 见 图 9-28)。 


1. 备份 系统 总 体 方案 
(1) 根据 用 户 需 求 和 备份 软件 特点 ， 网 络 备份 系统 使 用 SAN 和 LAN。 
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(2) 在 省 中 心 和 沈阳 市 数据 中 心 分 别 构造 基于 光纤 交换 机 的 存储 区 域 网 。 

(3) 其 他 地 市 数据 中 心 通过 本 地 局 域 网 实现 本 地 数据 的 网 络 化 备份 。 

(4) 省 中 心 与 沈阳 市 数据 中 心 通过 SAN 共享 磁带 库 ， 利 用 备份 软件 多 重复 制 功能 ， 
实现 互 为 100% 备 份 。 

(5) 铁岭 、 抚 顺 、 阜 新 、 营 口 和 两 锦 等 地 市 的 数据 中 心 通过 在 省 中 心 配置 一 台 备份 
介质 服务 器 和 另外 一 台 L180 磁带 库 ， 实 现在 省 中 心 的 远程 异地 备份 。 

(6) 省 中 心 和 沈阳 市 数据 中 心 运行 关键 业务 的 服务 器 ， 通 过 连接 到 光纤 交换 机 ， 实 
现 LAN-Free 备份 。 

(7) 利用 StorageTek ACSLS 磁带 库 管 理 软件 将 备份 数据 和 迁移 归档 数据 存 入 一 台 
磁带 库 。 


3. 省 中 心 灾难 备份 系统 


根据 具体 的 需求 分 析 和 高 性 价 比 的 设计 原则 ， 省 中 心 和 各 地 市 数据 中 心 备份 系统 设 
计 有 所 不 同 。 省 中 心 一 方面 实现 对 省 中 心 应 用 系统 数据 的 备份 ， 另 一 方面 ， 也 要 实现 与 
沈阳 市 数据 中 心 互 为 100% 备 份 ; 除 此 以 外 ， 省 中 心 还 要 实现 对 其 他 地 市 数据 中 心 关键 业 
务 数据 的 远程 备份 , 因此 属于 海量 数据 备份 问题 。 如果 只 采用 LAN-Base 网 络 备份 结构 ， 
磁带 库 连 接 在 个 别 服务 器 上 ， 其 他 系统 通过 局 域 网 络 将 数据 送 到 该 服务 器 连接 的 磁带 库 
上 。 这 样 一 来 ， 将 有 大 于 TB 级 的 数据 在 网 络 上 传送 ， 且 服务 器 要 花 额外 的 时 间 处 理 这 
TB 级 的 数据 。 显 然 备 份 效 率 不 高 ， 且 会 降低 服务 器 和 网 络 性 能 ， 因 此 ， 采 用 LAN-Base 
与 LAN-Free 混合 方式 。 鉴 于 全 省 的 备份 管理 任务 十 分 繁重 ， 单 独 设立 备份 主 服 务 器 〈 也 
可 以 与 其 他 的 应 用 共用 一 台 服 务 器 )。 该 主 服务 器 承担 全 省 电力 公司 的 灾难 备份 管理 ， 如 
省 中 心 各 客户 机 系统 备份 、 磁 带 库 管理 、 备 份 策略 设 定 、 各 市 中 心 关 键 业 务 系统 数据 的 
备份 。 

(1) 运 行 关键 业务 系统 的 服务 器 通过 连接 到 光线 交换 机 实现 对 StorageTek L180 高 性 
能 磁带 库 的 共享 ， 实 现 LAN-Free 备份 。 
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(2) 其 他 各 台 应 用 服务 器 配置 VERITAS NBU Client 和 database agent (数据 库 备 份 
模块 )， 通 过 本 地 局 域 网 实现 LAN-Base 备份 。 

(3) 省 中 心 通过 广域网 对 其 他 地 市 中 心 的 数据 进行 远程 备份 ， 保 证 各 地 发 生 灾难 
时 ， 省 中 心 存 有 一 份 数据 副本 ; 同时 省 中 心 数据 也 复制 一 份 到 沈阳 数据 中 心 ， 实 现 省 中 
心 的 数据 容 灾 。 

磁带 库 产品 的 选择 及 配置 。 

根据 前 述 的 需求 分 析 ， 磁 带 库 产 品 的 选择 要 解决 海量 数据 存储 的 容量 和 性 能 问题 。 

备份 和 归档 数据 容量 的 估算 。 

(1) 如 果 数 据 保 存 期 限 为 1 年 ，! 年 后 数据 归档 ， 每 天 数据 增 量 45GB〈 按 每 台 机 器 
5GB/ 天 ，9 台 主 机 )。 

(2) 在 线 备份 数据 总 量 : 45GBX30X12=16.2TB。 

(3) 每 年 归档 数据 总 量 : 45GBX30X12=16.2TB。 

(4) 磁带 库 产品 容量 : 16.2TB X 2=32.4TB。 

(5) 根据 当前 对 备份 和 归档 数据 容量 的 估算 以 及 备份 窗口 的 要 求 ， 采 用 StorageTek 
L180 高 性 能 磁带 库 〈 总 容量 34.8TB)， 配 置 5 台 LTO2 驱动 器 。 


4. 各 地 市 灾难 备份 系统 


采用 网 络 化 备份 结构 ， 各 台 业 务 应 用 服务 器 作为 客户 端 通过 备份 网 络 进入 备份 介质 
服务 器 进行 备份 。 建 议 设立 专用 备份 介质 服务 器 (也 可 与 其 他 的 应 用 共用 一 台 服 务 器 )， 
该 服务 器 连接 磁带 库 。 备 份 服务 器 安装 VERITAS NBU Master server。 

网 络 化 备份 机 制 为 (采用 VERITAS NetBackup): 在 网 络 上 选择 一 台 服 务 器 (当然 
也 可 以 在 网 络 中 另 配 一 台 服 务 器 作为 专用 的 备份 服务 器 ) 作为 网 络 数据 存储 管理 服务 
器 ， 安 装 网 络 数据 存储 管理 服务 器 端 软件 ， 作 为 整个 网 络 的 备份 服务 器 。 在 备份 服务 器 
上 连接 一 台大 容量 存储 设备 (如 磁带 库 )。 在 网 络 中 其 他 需要 进行 数据 备份 管理 的 应 用 服 
务 器 上 安装 备份 客户 端 软件 ， 通 过 网 络 将 数据 集中 备份 管理 到 与 备份 服务 器 连接 的 存储 
设备 上 。 我 们 称 连 接 磁 带 库 或 存储 介质 并 提供 数据 通路 的 服务 器 为 Backup Server， 具 有 
备份 要 求 并 送 到 Backup Server 端 进行 备份 的 站 点 为 Backup Client。 备份 系统 均 自 动 对 所 
有 的 备份 作业 进行 管理 ， 数 据 通 过 客户 端 流向 备份 服务 器 和 磁带 库 。 

各 业务 服务 器 均 安装 VERITAS NBU Client， 配 置 数据 库 备份 模块 。 

各 地 市 中 心 业务 数据 除 在 本 地 备份 主 服务 器 备份 或 归档 外 ， 还 要 在 省 中 心安 装 一 台 
介质 服务 器 ， 实 现 本 地 数据 经 过 广域网 备份 到 省 中 心 磁带 库 ， 达 到 了 远程 数据 容 灾 备份 
的 目的 。 

其 他 城市 选用 StorageTek L80 磁带 库 ， 配 置 两 台 IBM LTO ULTRIUM2 磁带 机 ， 磁 
带 机 速率 为 35Mbps。 


5. 沈阳 市 灾难 备份 系统 


由 于 沈阳 市 数据 中 心 与 省 中 心 互 为 100% 备 份 ， 所 以 与 省 中 心 都 属 海量 存储 ， 对 磁带 
库容 量 和 性 能 要 求 与 省 中 心 基本 一 致 。 因 此 ， 备 份 服务 器 连接 的 磁带 库 系 统 采用 


StorageTek L180 磁带 库 〈 具 体 参照 选 型 说 明 )， 最 大 容量 34.8TB， 配 置 4 台 IBM LTO 
ULTRIUM2 磁带 机 ， 磁 带 机 速率 为 33Mbps。 

辽宁 电力 信息 网 广域网 络 数据 备份 系统 辽 电 一 期 备份 项 目 自 2003 年 开始 建设 , 采 
用 Veritas NetBackup 备份 管理 软件 和 STK 企业 级 磁带 库 设备 ， 已 完成 了 以 下 工作 。 

(1) 在 省 公司 和 沈阳 电 业 公司 内 部 分 别 建设 SAN 网 络 ,数据 服务 器 和 大 容量 磁带 库 
STK L180 接 入 SAN， 实 现 基于 LAN-Free 方式 的 数据 备份 。 

(2) 在 省 公司 和 沈阳 电 业 公司 的 SAN 网 络 通过 CWDM 互联 ， 双 方 数据 100% 相 互 
备份 ， 实 现 同 城 数据 容 灾 。 

(3) 铁岭、 抚顺、 阜新、 营口、 朝阳 和 两 锦 共 6 地 市 电 业 公司 建设 本 地 备份 系统 ， 
安装 STK L80 企业 级 磁带 库 ， 通 过 本 地 局 域 网 实现 本 地 数据 的 网 络 化 备份 。 

(4) 铁岭、 抚顺、 阜新、 营口 、 朝 阳 和 两 锦 共 6 地 市 电 业 公司 通过 在 省 中 心 配置 一 
台 备 份 介质 服务 器 ， 将 本 地 重要 数据 经 过 广域网 备份 到 省 公司 的 专用 磁带 库 中 ， 实 现在 
省 中 心 的 远程 异地 备份 。 

(5) 采用 StorageTek ACSLS 磁带 库 管理 软件 对 备份 数据 和 迁移 归档 数据 进行 统一 
管理 。 

(6) 省 公司 利用 Veritas 公司 的 全 局 备份 管理 软件 GDM, 统一 管理 本 地 的 数据 备份 、 
容 灾 备 份 和 地 市 电 业 公司 远程 异地 备份 。 


6. 网 络 拓扑 图 见 备份 系统 一 期 网 络 结构 
备份 系统 一 期 网 络 结构 图 如 图 9-29 所 示 。 
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图 9-29 备份 系统 一 期 网 络 结构 图 
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7. 系统 实施 内 容 


(1) 公司 和 沈阳 数据 中 心 建设 SAN 存储 网 络 ， 实 现 通过 本 地 SAN 完成 本 地 数据 的 
备份 。 

(2) 省 公司 和 沈阳 数据 中 心 通过 CWDM 互联 各 自 的 SAN 存储 网 络 ， 共 享 SAN 备 
份 资源 ， 实 现 同城 数据 的 容 灾 备 份 功能 。 

(3) 铁岭、 抚顺、 阜新、 营口 、 朝 阳 和 两 锦 共 6 个 地 市 的 数据 中 心 通过 本 地 局 域 网 
实现 本 地 数据 的 网 络 化 备份 。 

(4) 铁岭、 抚顺、 阜新、 营口、 朝阳 和 两 锦 共 6 个 地 市 的 数据 中 心 通过 在 省 中 心 各 
配置 一 台 备 份 介质 服务 器 ， 共 享 省 中 心 的 STK L180 磁带 库 ， 实 现在 省 中 心 的 远程 异地 
备份 。 

(5) 利用 StorageTek ACSLS 磁带 库 管 理 软件 将 备份 数据 和 迁移 归档 数据 存 入 一 台 
磁带 库 。 

(6) 采用 网 络 化 备份 结构 ， 各 台 业 务 应 用 服务 器 作为 客户 端 通过 备份 网 络 进入 备份 
介质 服务 器 进行 备份 。 设 立 专用 备份 介质 服务 器 〈 也 可 与 其 他 的 应 用 共用 一 台 服 务 器 )， 
该 服务 器 连接 磁带 库 。 备 份 服务 器 安装 VERITAS NBU Master server。 

(7) 网 络 化 备份 机 制 为 (采用 VERITAS NetBackup): 在 网 络 上 选择 一 台 专用 的 备 
份 服务 器 作为 网 络 数 据 存 储 管理 服务 器 ， 安 装 网 络 数据 存储 管理 服务 器 端 软 件 ， 作 为 整 
个 网 络 的 备份 服务 器 。 在 备份 服务 器 上 连接 一 台大 容量 存储 设备 “STKL80 磁带 库 )。 在 
网 络 中 其 他 需要 进行 数据 备份 管理 的 应 用 服务 器 上 安装 备份 客户 端 软件 ， 通 过 网 络 将 数 
据 集中 备份 管理 到 与 备份 服务 器 连接 的 存储 设备 上 。 我 们 称 连接 磁带 库 或 存储 介质 并 提 
供 数 据 通 路 的 服务 器 为 Backup Server， 具 有 备份 要 求 并 送 到 Backup Server 端 进行 备份 
的 站 点 为 Backup Client。 备 份 系统 均 自动 对 所 有 的 备份 作业 进行 管理 ， 数 据 通过 客户 端 
流向 备份 服务 器 和 磁带 库 。 

(8) 各 业务 服务 器 均 安 装 VERITAS NBU Client， 配 置 数 据 库 备份 模块 。 

(9) 各 地 市 中 心 业务 数据 除 在 本 地 备份 主 服务 器 备份 或 归档 外 ， 还 在 省 中 心安 装 一 
台 介 质 服务 器 ， 实 现 本 地 数据 经 过 广域网 备份 到 省 中 心 磁带 库 ， 达 到 了 远程 数据 容 灾 备 
份 的 目的 。 

(10) 磁带 库 系 统 的 配置 : 省 公司 和 沈阳 公司 分 别 设置 海量 存储 设备 ， 铁 岭 、 抚 顺 、 
阜新 、 营 口 、 朝 阳 和 两 锦 共 6 个 地 市 的 数据 中 心 各 配置 一 台大 容量 磁带 库 ， 满 足 数据 备 
份 和 容 灾 的 需求 。 


9.5.3 备份 系统 实施 进度 


2003 年 10 月 8 日 提交 了 《备份 系统 实施 准备 》 文 档 ， 并 得 到 了 各 供电 公司 的 信息 
反馈 。 
2003 年 10 月 21 日 STK 磁带 库 、Tape Drive、SCSI 卡 、 介 质 等 主要 设备 陆续 到 货 。 
10 月 23 日 设备 到 达 各 市 供电 公司 。 
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2003 年 11 月 7 日 锦州 供电 公司 备份 系统 安装 完成 , 11 月 13 日 朝阳 供电 公司 备份 系 
统 安装 完成 ，11 月 27 日 阜新 供电 公司 备份 系统 安装 完成 ，12 月 3 日 抚顺 供电 公司 备份 
系统 安装 完成 ，12 月 6 日 营口 供电 公司 备份 系统 安装 完成 ，12 月 10 日 铁岭 供电 公司 备 
份 系统 安装 完成 。 

2004 年 3 月 10 日 省 公司 备份 系统 具备 了 与 各 市 供电 公司 联 调 的 条 件 。3 月 10 日 安 
装 完毕 了 省 公司 侧 提 供给 两 锦 供电 公司 master server( 主 备份 服务 器 ) 使 用 的 media server 
(介质 服务 器 )， 同 时 安装 完成 了 灾难 恢复 系统 ， 并 进行 了 相应 的 测试 。3 月 16 日 安装 完 
毕 了 省 公司 侧 提供 给 朝阳 供电 公司 master server( 主 备份 服务 器 ) 使 用 的 media server ( 介 
质 服 务 器 )， 同 时 基于 朝阳 供电 公司 的 要 求 ， 未 进行 灾难 恢复 系统 的 安装 。3 月 25 日 安 
装 完毕 了 省 公司 侧 提供 给 抚顺 供电 公司 master server( 主 备份 服务 器 ) 使 用 的 media server 
(介质 服务 器 )， 同 时 安装 完成 了 灾难 恢复 系统 ， 并 进行 了 相应 的 测试 。5 月 15 日 安装 完 
毕 了 省 公司 侧 提 供给 阜新 供电 公司 master server( 主 备份 服务 器 ) 使 用 的 media server( 介 
质 服 务 器 )， 同 时 安装 完成 了 灾难 恢复 系统 ， 并 进行 了 相应 的 测试 。 至 5 月 15 日 止 ， 系 
统 安装 完毕 。 


1. 二 期 备份 系统 建设 目标 


建设 大 连 、 鞍 山 、 辽 阳 、 盘 锦 、 丹 东 、 本 溪 共 6 个 市 电 业 公 司 的 数据 备份 系统 ， 实 
现 6 个 市 电力 系统 多 种 系统 平台 下 各 种 业务 子 系统 大 容量 数据 的 存储 和 共享 、 各 业务 系 
统 的 联机 、 实 时 、 高 速 备份 、 系 统 的 高 可 用 性 、 系 统 的 灾难 恢复 ; 满足 6 市 电 业 公司 两 
年 信息 应 用 系统 数据 信息 存储 的 需要 ; 实现 省 公司 与 6 市 电 业 公司 数据 的 异地 备份 ， 完 
成 辽宁 电力 全 省 数据 信息 存储 集中 管理 框架 的 基础 建设 。 

充分 考虑 全 面 管理 辽宁 电力 数据 信息 存储 的 需求 ， 满 足 今 后 系统 功能 及 性 能 扩展 的 
要 求 。 


2. 辽 电 数据 备份 系统 全 部 建成 实现 的 功能 


@ 省 公司 和 沈阳 市 数据 中 心 建设 SAN 存储 网 络 , 实现 通过 本 地 SAN 完成 本 地 数据 
的 备份 。 

@ 省 公司 和 沈阳 市 数据 中 心 通过 CWDM 互联 各 自 的 SAN 存储 网 络 ， 共 享 SAN 备 
份 资源 ， 实 现 同 城 数据 的 容 灾 备 份 功能 。 

@ 铁岭、 抚顺、 阜新、 营口 、 朝 阳 和 两 锦 等 12 个 地 市 的 数据 中 心 通过 本 地 局 域 网 
实现 本 地 数据 的 网 络 化 备份 。 

@ 铁岭 、 抚 顺 、 息 新、 营口 、 朝 阳 和 两 锦 等 12 个 地 市 的 数据 中 心 通过 在 省 中 心 各 
配置 一 台 备份 介质 服务 器 ， 共 享 省 中 心 的 STK L180 磁带 库 ， 实 现在 省 中 心 的 远程 异地 
备份 。 

@ 利用 StorageTek ACSLS 磁带 库 管 理 软 件 将 备份 数据 和 迁移 归档 数据 存 入 一 台 磁 
带 库 。 
@ 采用 网 络 化 备份 结构 ， 各 台 业 务 应 用 服务 器 作为 客户 端 通过 备份 网 络 进入 备份 
介质 服务 器 进行 备份 。 设 立 专用 备份 介质 服务 器 (也 可 与 其 他 的 应 用 共用 一 台 服 务 器 )， 
该 服务 器 连接 磁带 库 。 备 份 服务 器 安装 VERITAS NBU Master server。 
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二 期 完成 数据 备份 系统 网 络 结构 如 图 9-30 所 示 。 

@ 网 络 化 备份 机 制 为 (采用 VERITAS NetBackup): 在 网 络 上 选择 一 台 专用 的 备份 
服务 器 作为 网 络 数据 存储 管理 服务 器 ， 安 装 网 络 数据 存储 管理 服务 器 端 软件 ， 作 为 整个 
网 络 的 备份 服务 器 。 在 备份 服务 器 上 连接 一 台大 容量 存储 设备 (STKL80 磁带 库 )。 在 网 
络 中 其 他 需要 进行 数据 备份 管理 的 应 用 服务 器 上 安装 备份 客户 端 软件 ， 通 过 网 络 将 数据 
集中 备份 管理 到 与 备份 服务 器 连接 的 存储 设备 上 。 我 们 称 连接 磁带 库 或 存储 介质 并 提供 
数据 通路 的 服务 器 为 Backup Server， 具 有 备份 要 求 并 送 到 Backup Server 端 进行 备份 的 
站 点 为 Backup Client。 备 份 系统 均 自动 对 所 有 的 备份 作业 进行 管理 ， 数 据 通 过 客户 端 流 
向 备份 服务 器 和 磁带 库 。 
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图 9-30 二 期 完成 数据 备份 系统 网 络 结构 


各 业务 服务 器 均 安装 VERITAS NBU Client， 配 置 数据 库 备份 模块 。 

@ 各 地 市 中 心 业务 数据 除 在 本 地 备份 主 服务 器 备份 或 归档 外 ， 还 在 省 中 心安 装 一 
台 介质 服务 器 ， 实 现 本 地 数据 经 过 广域网 备份 到 省 中 心 磁带 库 ， 达 到 了 远程 数据 容 灾 备 
份 的 目的 。 

示意 图 中 红线 部 分 为 控制 信号 传送 示意 。STK 磁带 库 分 别 为 12 个 市 各 提供 一 个 
驱动 器 ， 提 供 了 2 个 机 械 手 。 共 享 机 械 手 的 功能 ， 由 STK ACS 系统 提供 。 

去 磁带 库 系 统 的 配置 : 省 公司 和 沈阳 公司 分 别 设置 海量 存储 设备 铁岭、 抚顺、 乍 
新 、 营 口 、 朝 阳 和 两 锦 等 12 个 地 市 的 地 市 数据 中 心 各 配置 一 台大 容量 磁带 库 ， 满 足 数据 
备份 和 容 灾 的 需求 。 
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3. 辽 电 备份 系统 的 主要 特点 


可 归结 为 十 六 个 字 “一 个 平台 ， 两 个 中 心 ， 三 种 功能 ， 集 中 管理 ”。 

一 个 平台 就 是 建立 了 一 个 满足 辽宁 电力 信息 应 用 系统 需求 的 数据 信息 存储 管理 平 
人 台 。 这 个 平台 覆盖 了 辽宁 电力 所 有 数据 存储 资源 ， 包 括 本 地 和 所 属 电 业 局 的 数据 资源 。 

两 个 中 心 是 建立 了 一 个 数据 信息 存储 集中 管理 中 心 和 一 个 数据 信息 存储 中 心 。 前 者 
建 在 省 公司 ， 作 为 整个 数据 存储 集中 管理 系统 的 核心 ， 它 兼 有 存储 和 管理 两 种 职能 。 后 
者 建 在 沈阳 电 业 局 ， 主 要 承担 数据 存储 、 灾 难 备份 职能 。 

三 种 功能 指 系统 三 个 方面 的 功能 。 第 一 ， 为 辽宁 电力 所 有 重要 信息 系统 的 在 线 存储 
整合 提供 服务 ， 实 现在 线 存 储 资 源 的 统一 管理 和 调度 ， 第 二 ， 对 所 有 重要 应 用 系统 实行 
统一 的 自动 备份 /恢复 管理 ， 包 括 系统 级 备份 与 恢复 和 数据 级 备份 与 恢复 ， 第 三 ， 在 高 于 
上 述 两 点 的 层面 上 ， 将 存储 相关 资源 ， 数 据 、 介 质 、 设 备 作为 一 种 企业 资源 进行 管理 ， 
分 析 其 使 用 趋势 ， 价 值 ， 为 公司 的 信息 技术 投资 提供 参考 。 


4. 数据 备份 和 恢复 的 统一 集中 管理 、 监 控 


通过 Veritas Global Data Manager(GDM) 实 现 全 省 数据 备份 和 恢复 的 统一 集中 管理 。 
数据 备份 系统 网 络 覆盖 范围 如 图 9-31 所 示 。 
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图 9-31 数据 备份 系统 网 络 获 盖 范 围 


在 各 市 NetBackup Master Server 上 分 别 安装 Global DataManager, Managed Master 
Server 选 件 。 在 省 公司 NetBackup Master Server 上 安装 Global DataManager 选 件 。 这 样 
就 可 能 通过 省 公司 统一 管理 、 监 控 各 地 市 备份 系统 的 运行 情况 了 。 
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